非域用户的 Tomcat 8 和 Windows NTLM 身份验证

Question

我们的 Tomcat 8 应用程序配置了带有 SPNEGO 身份验证器、keytab 和 SPN 的 Windows 身份验证 (IWA)。 它适用于域用户 - 他们在不使用 Kerberos 提示用户和密码的情况下进行身份验证。 对于非域用户，我们希望通过使用本机浏览器弹出窗口输入用户名和密码来进行身份验证。看来，tomcat 应该在这种情况下使用 NTLM。 但是，当非域用户在浏览器弹出窗口中输入登录名和密码时 - 它会重新出现并且在 tomcat 日志中存在异常：

2017-01-24 05:15:46,910 [http-nio-127.0.0.1-8455-exec-9] DEBUG org.apache.catalina.authenticator.SpnegoAuthenticator- Unable to login as the service principal
java.security.PrivilegedActionException: GSSException: Defective token detected (Mechanism level: GSSHeader did not find the right tag)
                at java.security.AccessController.doPrivileged(Native Method)
                at javax.security.auth.Subject.doAs(Subject.java:422)
                at org.apache.catalina.authenticator.SpnegoAuthenticator.authenticate(SpnegoAuthenticator.java:230)
                at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:577)
                at com.avaya.cas.auth.authenticator.IViewTokenAuthenticator.invoke(IViewTokenAuthenticator.java:212)
                at com.avaya.cas.ssl.valves.SSLValve.invoke(SSLValve.java:84)
                at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:142)
                at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:79)
                at org.apache.catalina.authenticator.SingleSignOn.invoke(SingleSignOn.java:240)
                at org.apache.catalina.valves.RemoteIpValve.invoke(RemoteIpValve.java:676)
                at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:88)
                at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:518)
                at org.apache.coyote.http11.AbstractHttp11Processor.process(AbstractHttp11Processor.java:1091)
                at org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:668)
                at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1527)
                at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.run(NioEndpoint.java:1484)
                at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)
                at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)
                at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
                at java.lang.Thread.run(Thread.java:745)
Caused by: GSSException: Defective token detected (Mechanism level: GSSHeader did not find the right tag)
                at sun.security.jgss.GSSHeader.<init>(GSSHeader.java:97)
                at sun.security.jgss.GSSContextImpl.acceptSecContext(GSSContextImpl.java:306)
                at sun.security.jgss.GSSContextImpl.acceptSecContext(GSSContextImpl.java:285)
                at org.apache.catalina.authenticator.SpnegoAuthenticator$AcceptAction.run(SpnegoAuthenticator.java:323)
                at org.apache.catalina.authenticator.SpnegoAuthenticator$AcceptAction.run(SpnegoAuthenticator.java:310)
                ... 20 more

有一段GSSHeader的代码：

int var2 = decodedHeader.read();
        if(var2 != 96) {
            throw new GSSException(10, -1, "GSSHeader did not find the right tag");

在我的情况下 var2 是 78 ('N' char) decodedHeader- 是标准的第一个 NTLM 消息，它是从浏览器在 Authorization 标头中发送的。 在我的情况下是：

授权：协商TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAAAAKADk4AAAADw==

解码后它会像'NTLMSSP...二进制数据...'。 因此，此消息的第一个字节始终是 'N'(78) 但不是 96，正如 Tomcat 的代码所预期的那样。

Tomcat 是否支持 NTLM 身份验证？这很奇怪，因为域用户可以通过身份验证（这意味着 Tomcat 可以使用提供的 keytab 解密来自用户的挑战）

Answer 1

这里是 SPNEGO 代码的捐赠者。

GSSHeader 没有找到正确的标签

表示客户端没有发送SPNEGO令牌； you receive a pure NTLM token。当 Kerberos 由于某种原因（您的情况）失败时，就会发生这种情况。

NTLM 非常不同且非常专有。在这种情况下，服务器充当中间人，将哈希从客户端传递到域控制器。服务器本身不能做任何事情。 Tomcat 无法解密任何东西without the help of a domain controller。此外，除了 Samba 的内部代码之外，没有已知的 NTLM 服务器端实现可以作为开源（尤其是 Java 中的）可用。

结果：forget about NTLM 并按照我的建议进行操作 here。

注意：IAKERB 用于这种情况，但只有 MIT Kerberos 和最多 Heimdal 支持。