web server apache tomcat11-29-Windows Authentication

创建一个域用户，该用户将映射到Tomcat服务器使用的服务名称。在本说明中，此用户称为tc01，密码为tc01pass。
将服务主体名称（SPN）映射到用户帐户。SPN的形式为 / : / 。本说明中使用的SPN是HTTP/win-tc01.dev.local。要将用户映射到SPN，请运行以下命令：
复制代码
```
setspn -A HTTP/win-tc01.dev.local tc01
```
生成密钥表文件，Tomcat服务器将使用该文件向域控制器进行身份验证。该文件包含了服务提供程序帐户的Tomcat私钥，应当受到保护。要生成文件，请运行以下命令（所有命令放在一行上）：
复制代码
```
ktpass /out c:\tomcat.keytab /mapuser [email protected]
          /princ HTTP/[email protected]
          /pass tc01pass /kvno 0
```
创建一个用于客户端的域用户。在本说明中，域用户为test，密码为testpass。

上述步骤已在运行Windows Server 2019 Standard的域控制器上进行了测试，该服务器使用了Windows Server 2016的功能级别，用于森林和域。

Tomcat实例（Windows服务器）

这些步骤假定Tomcat和Java 11 JDK/JRE已经安装和配置，并且Tomcat正在以[email protected]用户身份运行。配置Tomcat实例以进行Windows身份验证的步骤如下：

将在域控制器上创建的tomcat.keytab文件复制到$CATALINA_BASE/conf/tomcat.keytab。
创建Kerberos配置文件$CATALINA_BASE/conf/krb5.ini。本说明中使用的文件包含以下内容：

ini 复制代码

[libdefaults]
default_realm = DEV.LOCAL
default_keytab_name = FILE:c:\apache-tomcat-11.0.x\conf\tomcat.keytab
default_tkt_enctypes = rc4-hmac,aes256-cts-hmac-sha1-96,aes128-cts-hmac-sha1-96
default_tgs_enctypes = rc4-hmac,aes256-cts-hmac-sha1-96,aes128-cts-hmac-sha1-96
forwardable=true

[realms]
DEV.LOCAL = {
        kdc = win-dc01.dev.local:88
}

[domain_realm]
dev.local= DEV.LOCAL
.dev.local= DEV.LOCAL

这个文件的位置可以通过设置java.security.krb5.conf系统属性来改变。

创建JAAS登录配置文件$CATALINA_BASE/conf/jaas.conf。本说明中使用的文件内容如下：

conf 复制代码

com.sun.security.jgss.krb5.initiate {
    com.sun.security.auth.module.Krb5LoginModule required
    doNotPrompt=true
    principal="HTTP/[email protected]"
    useKeyTab=true
    keyTab="c:/apache-tomcat-11.0.x/conf/tomcat.keytab"
    storeKey=true;
};

com.sun.security.jgss.krb5.accept {
    com.sun.security.auth.module.Krb5LoginModule required
    doNotPrompt=true
    principal="HTTP/[email protected]"
    useKeyTab=true
    keyTab="c:/apache-tomcat-11.0.x/conf/tomcat.keytab"
    storeKey=true;
};

这个文件的位置可以通过设置java.security.auth.login.config系统属性来改变。使用的LoginModule是特定于JVM的，因此确保指定的LoginModule与使用的JVM匹配。登录配置的名称必须与身份验证阀值使用的值相匹配。

SPNEGO验证器将与任何Realm一起工作，但如果与JNDI Realm一起使用，默认情况下，JNDI Realm将使用用户的委派凭据连接到Active Directory。如果只需要认证的用户名，则可以使用AuthenticatedUserRealm，它将简单地返回基于认证用户名的Principal，而不具有任何角色。

以上步骤已在运行Windows Server 2019 Standard和AdoptOpenJDK 8u232-b09（64位）的Tomcat服务器上进行了测试。

Tomcat实例（Linux服务器）

这是使用以下进行测试的：

Java 1.7.0，更新45，64位
Ubuntu Server 12.04.3 LTS 64位
Tomcat 8.0.x（r1546570）

它应该适用于任何Tomcat版本，尽管建议使用最新的稳定版本。

配置与Windows相同，但有以下更改：

Linux服务器不必成为Windows域的一部分。
在krb5.ini和jaas.conf中，密钥表文件的路径应更新为反映Linux服务器上密钥表文件的路径，使用Linux风格的文件路径（例如，/usr/local/tomcat/...）。

Web应用程序

Web应用程序需要在web.xml中配置使用Tomcat特定的SPNEGO身份验证方法（而不是BASIC等）。与其他身份验证器一样，可以通过明确配置身份验证阀和在阀上设置属性来自定义行为。

客户端

客户端必须配置为使用Kerberos身份验证。对于Internet Explorer，这意味着确保Tomcat实例位于"本地内部网络"安全域中，并且已配置（工具 > Internet选项 > 高级）启用集成的Windows身份验证。请注意，如果您将客户端和Tomcat实例使用相同的计算机，那么这将无法正常工作，因为Internet Explorer将使用不受支持的NTLM协议。

参考资料

正确配置Kerberos身份验证可能会有些棘手。以下参考资料可能会有所帮助。

Tomcat用户邮件列表上也始终提供建议。

IIS和Kerberos
SourceForge上的SPNEGO项目
Oracle Java GSS-API教程（Java 7）
Oracle Java GSS-API教程 - 故障排除（Java 7）
Geronimo用于Windows身份验证的配置
在Kerberos交换中选择加密
支持的Kerberos密码套件