Дешифровать билет в Керберос, используя Spnego
Я использую spnego (http://spnego.sourceforge.net) для аутентификации Kerberos в JBoss.
Мне нужно расшифровать билет kerberos для доступа к данным авторизации, которые будут содержать данные PAC. Данные PAC необходимы для определения того, какие роли должны быть предоставлены пользователю.
Как получить доступ и расшифровать билет в кеберосе? Я искал сеть для примеров, но без усилий.
Ответы
Ответ 1
У этих парней есть полная реализация декодирования PAC:
http://jaaslounge.sourceforge.net/
Вы можете использовать парсерный парсер следующим образом:
HttpServletRequest request = (HttpServletRequest) req;
String header = request.getHeader("Authorization");
byte[] base64Token = header.substring(10).getBytes("UTF-8");
byte[] spnegoHeader = Base64.decode(base64Token);
SpnegoInitToken spnegoToken = new SpnegoInitToken(spnegoHeader);
Вам нужно будет прыгать, хотя некоторые обручи, если вы хотите расшифровать базовый билет Kerberos. Не уверен, что вам это нужно.
Грант
Ответ 2
Я успешно использовал фильтр сервлета из http://spnego.sourceforge.net в сочетании с парсером PAC из http://jaaslounge.sourceforge.net/ без необходимости делать что-то явно с помощью парсеров DER/ASN.1:
/**
* Retrieve LogonInfo (for example, Group SID) from the PAC Authorization Data
* from a Kerberos Ticket that was issued by Active Directory.
*/
byte[] kerberosTokenData = gssapiData;
try {
SpnegoToken token = SpnegoToken.parse(gssapiData);
kerberosTokenData = token.getMechanismToken();
} catch (DecodingException dex) {
// Chromium bug: sends a Kerberos response instead of an spnego response
// with a Kerberos mechanism
} catch (Exception ex) {
log.error("", ex);
}
try {
Object[] keyObjs = IteratorUtils.toArray(loginContext.getSubject()
.getPrivateCredentials(KerberosKey.class).iterator());
KerberosKey[] keys = new KerberosKey[keyObjs.length];
System.arraycopy(keyObjs, 0, keys, 0, keyObjs.length);
KerberosToken token = new KerberosToken(kerberosTokenData, keys);
log.info("Authorizations: ");
for (KerberosAuthData authData : token.getTicket().getEncData()
.getUserAuthorizations()) {
if (authData instanceof KerberosPacAuthData) {
PacSid[] groupSIDs = ((KerberosPacAuthData) authData)
.getPac().getLogonInfo().getGroupSids();
log.info("GroupSids: " + Arrays.toString(groupSIDs));
response.getWriter().println("Found group SIDs: " +
Arrays.toString(groupSIDs));
} else {
log.info("AuthData without PAC: " + authData.toString());
}
}
} catch (Exception ex) {
log.error("", ex);
}
Я также написал новый HttpFilter (forked from spnego.sf.net): spnego-pac, который раскрывает LogonInfo через getUserPrincipal().
Пример проекта, демонстрирующий полный код в полном объеме, можно найти здесь:
https://github.com/EleotleCram/jetty-spnego-demo
Фильтр spnego-pac (используемый в приведенном выше примере) можно найти здесь:
https://github.com/EleotleCram/spnego.sf.net-fork
Надеюсь, что это полезно для всех.
__
Марсель
Ответ 3
Если вы получаете токен механизма из spnegoToken следующим образом:
byte[] mechanismToken = spnegoToken.getMechanismToken();
Механический токен обычно равен KerberosApRequest. Существует конструктор KerberosToken, который принимает KerberosApRequest. Просто передайте массив байтов mechanismToken вместе с ключом для расшифровки содержимого.
Ответ 4
Я предоставляю свое решение проблемы:
Я основал свое решение в библиотеке BouncyCastle (для разбора частей токена) и JaasLounge (для дешифрования зашифрованной части токена). К сожалению, код для декодирования целых токенов spnego из JaasLounge не соответствовал моим требованиям. Я должен был написать это сам.
Я частично декодировал часть билета, сначала создав DERObjects из массива byte []:
private DERObject[] readDERObjects(byte[] bytes) throws IOException {
ASN1InputStream stream = new ASN1InputStream(new ByteArrayInputStream(
bytes));
List<DERObject> objects = new ArrayList<DERObject>();
DERObject curObj;
while ((curObj = stream.readObject()) != null) {
objects.add(untag(curObj));
}
return objects.toArray(new DERObject[0]);
}
Функция untag() - моя вспомогательная функция, чтобы удалить обертку DERTaggedObject
private DERObject untag(DERObject src) {
if (src instanceof DERTaggedObject) {
return ((DERTaggedObject) src).getObject();
}
return src;
}
Для извлечения последовательности DERObject из данного DERObject я написал еще одну вспомогательную функцию:
private DERObject[] readDERObjects(DERObject container) throws IOException {
// do operation varying from the type of container
if (container instanceof DERSequence) {
// decode using enumerator
List<DERObject> objects = new ArrayList<DERObject>();
DERSequence seq = (DERSequence) container;
Enumeration enumer = seq.getObjects();
while (enumer.hasMoreElements()) {
DERObject curObj = (DERObject) enumer.nextElement();
objects.add(untag(curObj));
}
return objects.toArray(new DERObject[0]);
}
if (container instanceof DERApplicationSpecific) {
DERApplicationSpecific aps = (DERApplicationSpecific) container;
byte[] bytes = aps.getContents();
return readDERObjects(bytes);
}
if (container instanceof DEROctetString) {
DEROctetString octets = (DEROctetString) container;
byte[] bytes = octets.getOctets();
return readDERObjects(bytes);
}
throw new IllegalArgumentException("Unable to decode sequence from "+container);
}
В конце, когда у меня есть DEROctetStream, который содержит зашифрованную часть, я только что использовал KerberosEncData:
KerberosEncData encData = new KerberosEncData(decrypted, matchingKey);
Последовательность байтов, которую мы получаем из клиентского браузера, будет разобрана в один DERApplicationSpecific
который является корнетом билета - уровень 0.
Корень содержит:
- DERObjectIdentifier - SPNEGO OID
- DERSequence - уровень 1
Уровень 1 содержит:
- ПОСЛЕДОВАТЕЛЬНОСТЬ DERObjectIdentifier - типы мехов
- DEROctetString - завернутый DERApplicationSepecific - уровень 2
Уровень 2 содержит:
- DERObjectIndentifier - OID Kerberos
- тег KRB5_AP_REQ
0x01 0x00, проанализирован как логический (false)
- DERApplicationSpecific - контейнер DERSequence - уровень 3
Уровень 3 содержит:
- номер версии - должно быть 5
- тип сообщения - 14 (AP_REQ)
- Параметры AP (DERBITString)
- DERApplicationSpecific - завернутый DERSequence с частью билета
- DERSeqeuence с дополнительной частью билета - не обрабатывается
Часть билета - уровень 4 содержит:
- Билетная версия - должна быть 5
- Билетная область - название области, в которой пользователь аутентифицирован
- DERSequence имен серверов. Каждое имя сервера - DERSequence из 2 строк:
имя сервера и имя экземпляра
- DERSequence с зашифрованной частью
Зашифрованная последовательность деталей (уровень 5) содержит:
- Используемый номер алгоритма
- 1, 3 - DES
- 16 - des3-cbc-sha1-kd
- 17 - ETYPE-AES128-CTS-HMAC-SHA1-96
- 18 - ETYPE-AES256-CTS-HMAC-SHA1-96
- 23 - RC4-HMAC
- 24 - RC4-HMAC-EXP
- Номер ключевой версии
- Зашифрованная часть (DEROctetStream)
Проблема заключалась в конструкторе DERBoolean, который выкидывал ArrayIndexOutOfBoundException, когда была найдена последовательность 0x01 0x00. Мне пришлось изменить этот конструктор:
public DERBoolean(
byte[] value)
{
// 2011-01-24 llech make it byte[0] proof, sequence 01 00 is KRB5_AP_REQ
if (value.length == 0)
this.value = 0;
else
this.value = value[0];
}
Ответ 5
Ничего себе, поскольку я использовал spnego (почти год)... Вы задаете очень крутой вопрос.
Я немного поработал и собирался попытаться запустить код, который у меня был с того времени, который работал с MS-AD, но просто не ощущал этого сегодня: -/
В любом случае, я нашел эту ссылку через google:
http://www.google.com/url?sa=t&source=web&cd=1&sqi=2&ved=0CBMQFjAA&url=http%3A%2F%2Fbofriis.dk%2Ffiles%2Fms_kerberos_pac.pdf&rct=j&q=java%20kerberos%20privilege%20attribute%20certificate&ei=2FASTbaLGcP38Abk07iQDg&usg=AFQjCNHcIfQRUTxkQUvLRcgOaQksCALTHA&sig2=g8yn7ie1PbzSkE2Mfv41Bw&cad=rja
Надеюсь, это может дать вам некоторое представление.
