Hallo Alle,
Ich möchte eine Webanwendung, wo ein tomcat embeded läuft für die Benutzer eines Intranets zur Verfügugng gestellt, so dass, Sie sobald deren Kerberos Anmeldung erfolgt, nicht mehr bei dem Aufruf der Webanwendung erneut ihren Credentials(username & password) erneut eingeben müssen. Ich habe soweit einen Vorschlag wie das gehen sollte, der so aussieht:
1- user gibt URL zur App ein.
2- Bei Kerberos über HTTP wird üblicherweise das SPNEGO Protokoll
verwendet. D.h. der Server schickt bei der ersten Anfrage eines Clients
folgende Header zurück:
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Negotiate
3- Wenn der Browser des Clients SPNEGO versteht (das machen die meisten)
schickt er dann folgenden Header zurück:
Authorization: Negotiate a87421000492aa874209af8bc028
4- Evtl. schickt der Server dann auch noch mal ein Bestätigungstoken zurück.
ich habe aber immer noch offene Fragen und zwar:
1- muss ich diese Handshake mit Hilfe von JAAS und JGSSAPI machen :confused:
2- nachdem der user die App aufruft. Wer fargt die Service Ticket von dem KDC (Kerberos) muss das von der App aus passieren oder ist das eine Einstellung in dem Browser ?
wenn jemnad Beispile kennt, wie das technisch implementiert werden kann, Ergänzungen, Vorschläge oder Links, bitte um einen Hinweis.
Jede Hilfe wird hochangesehen.
