我们有什么?
客户端:win8,ie11,使用域凭据登录系统。
服务器:3 个 tomcat7 节点运行在 apache 2.2.22 之后。应用程序使用 waffle 库对以 sso 方式登录域的 Windows 用户进行身份验证。
应用程序使用 spring security,关于此主题的主要内容是处理通过表单登录的过滤器位于处理身份验证 header 的过滤器之前。
我们做什么?
通过直接链接进入申请:https://app.domain.com/app_name/subordinates.do . 没关系,我们携带有效的 kerberos header (这是一个很好的大 kerberos token ,fiddler 将其描述为“授权 header (协商)似乎包含一个 kerberos 票”^^)并且应用程序端的华夫饼通过 kerberos 回复将我们传递给内部.
注销。
通过登录页面上的表单登录:我们使用用户名和密码发出发布请求,我们再次使用相同的 kerberos token 。应用程序使用用户名和密码在 waffle WindowsAuthenticationProvider 的帮助下登录我们。在这里,我们在丰富 NegotiateSecurityFilter 之前进行身份验证,因此服务器的回复中没有任何 kerberos header 。反正一切正常。
现在我们通过操作系统登录 MS 帐户。神奇的事情发生了。
当尝试通过直接链接登录时,我们在登录页面上收到“指定的句柄无效”错误,作为 SPRING_SECURITY_LAST_EXCEPTION 常量。 我的猜测是我们发送了某种无效的授权 header
当尝试通过表单登录时,我们得到“参数不正确”。 这里我认为我们发送了带有空主体的 ntlm 类型 1 POST 请求,但我们仍然有无效的 header ,因此应用程序无法识别它并且没有发送 401 回复,此后 waffle 将空名称发送到 AD,这里出现错误(只是猜测)
但是 当我打开 fiddler 以查看真正发生的情况时,一切都开始正常工作,就像登录 MS 帐户之前一样。
好的,为了弄清楚发送到服务器的 header 是什么,我在 cmd 文件中使用了一些代码:
UDPATED 添加代码和输出
var cookieContainer = new CookieContainer();
var authRequest = (HttpWebRequest) WebRequest.Create("https://app.domain.com/app_name/home.do");
var credentials = CredentialCache.DefaultNetworkCredentials;
authRequest.Credentials = credentials;
authRequest.CookieContainer = cookieContainer;
authRequest.AllowAutoRedirect = false;
var authResponse = (HttpWebResponse)authRequest.GetResponse();
Console.WriteLine("Request headers:");
foreach (string header in authRequest.Headers.AllKeys) {
Console.WriteLine("\t{0}: {1}", header, authRequest.Headers.Get(header));
}
Console.WriteLine("\nResponse: {0} {1}", (int)authResponse.StatusCode, authResponse.StatusDescription);
Console.WriteLine("Response headers:");
foreach (string header in authResponse.Headers)
Console.WriteLine("\t{0}: {1}", header, authResponse.GetResponseHeader(header));
foreach (var cookie in cookieContainer.GetCookies(new Uri("https://app.domain.com/app_name/")))
Console.WriteLine("Received cookie: {0}", cookie);
Console.WriteLine("\nPress ENTER to exit");
Console.ReadLine();
这是我得到的:
Request headers:
Authorization: Negotiate oTMwMaADCgEBoioEKE5UTE1TU1AAAQAAAJeCCOIAAAAAAAAAAAAAAAAAAAAABgOAJQAAAA8=
Host: {host}
Cookie: JSESSIONID={sessionId}
Response: 302 Found
Response headers:
Vary: Accept-Encoding
Content-Length: 0
Content-Type: text/ plain; charset=UTF-8
Date: Tue, 04 Feb 2014 11:44:15 GMT
Location: https://app.domain.com/app_name/login.do?error_code=1
Server: Apache/2.2.22 (Win32) mod_ssl/2.2.22 OpenSSL/0.9.8t mod_jk/1.2.37
Received cookie: JSESSIONID={sessionId}
它肯定比 kerberos 的 header 小得多,fiddler 在身份验证有效时看到的 header 。
所以问题是:
1. 为什么登录MS账号会影响向服务器发送哪些headers?
2. 为什么打开fiddler就开始工作了?
3. 此 header 的类型:协商 oTMwMaADCgEBoioEKE5UTE1TU1AAAQAAAJeCCOIAAAAAAAAAAAAAAAAAAAABgOAJQAAAA8= 以及服务器应如何处理?
2014 年 3 月 17 日更新: wireshark 捕获在 tgs 请求后显示 KRB5KDC_ERR_S_PRINCIPAL_UNKNOWN 错误,提到服务器 - 带有 apache 的机器名称。 在与支持团队调查后,我们发现用于在不同节点上运行 tomcat 服务器的特殊用户没有 spn 的机器域名与 apache(它有资源域名的 spn 但不是当前机器)。添加spn后问题消失。
最佳答案
解码oTMwMaADCgEBoioEKE5UTE1TU1AAAQAAAJeCCOIAAAAAAAAAAAAAAAAAAAAAABgOAJQAAAA8=后,我们可以看到它包含NTLMSSP(新版本)。
检查浏览器配置: 在 Internet Explorer 中:网页应位于“本地 Intranet”区域(在用户自动登录的区域)并且 IWA,集成 Windows 身份验证已启用。
如果不是这种情况,请查看 Wireshark 中的 dns 和 kerberos 数据包。
检查 DNS: IE 使用 dns 将网络服务器地址解析为主体名称。 CNAME地址解析为A地址。如果未找到,IE 将根本不会请求 Kerberos 服务票证(并将回退到 NTLM)。
检查 SPN: 当 Active Directory 找不到请求的主体(或那里或两个或更多)时。然后 IE 回到 NTLM。
关于windows - 为什么 Windows 8 在登录 MS 帐户后发送不同的授权 header ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21539379/
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
我需要在客户计算机上运行Ruby应用程序。通常需要几天才能完成(复制大备份文件)。问题是如果启用sleep,它会中断应用程序。否则,计算机将持续运行数周,直到我下次访问为止。有什么方法可以防止执行期间休眠并让Windows在执行后休眠吗?欢迎任何疯狂的想法;-) 最佳答案 Here建议使用SetThreadExecutionStateWinAPI函数,使应用程序能够通知系统它正在使用中,从而防止系统在应用程序运行时进入休眠状态或关闭显示。像这样的东西:require'Win32API'ES_AWAYMODE_REQUIRED=0x0
我有一个模型:classItem项目有一个属性“商店”基于存储的值,我希望Item对象对特定方法具有不同的行为。Rails中是否有针对此的通用设计模式?如果方法中没有大的if-else语句,这是如何干净利落地完成的? 最佳答案 通常通过Single-TableInheritance. 关于ruby-on-rails-Rails-子类化模型的设计模式是什么?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.co
我正在使用的第三方API的文档状态:"[O]urAPIonlyacceptspaddedBase64encodedstrings."什么是“填充的Base64编码字符串”以及如何在Ruby中生成它们。下面的代码是我第一次尝试创建转换为Base64的JSON格式数据。xa=Base64.encode64(a.to_json) 最佳答案 他们说的padding其实就是Base64本身的一部分。它是末尾的“=”和“==”。Base64将3个字节的数据包编码为4个编码字符。所以如果你的输入数据有长度n和n%3=1=>"=="末尾用于填充n%
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
为什么4.1%2返回0.0999999999999996?但是4.2%2==0.2。 最佳答案 参见此处:WhatEveryProgrammerShouldKnowAboutFloating-PointArithmetic实数是无限的。计算机使用的位数有限(今天是32位、64位)。因此计算机进行的浮点运算不能代表所有的实数。0.1是这些数字之一。请注意,这不是与Ruby相关的问题,而是与所有编程语言相关的问题,因为它来自计算机表示实数的方式。 关于ruby-为什么4.1%2使用Ruby返
它不等于主线程的binding,这个toplevel作用域是什么?此作用域与主线程中的binding有何不同?>ruby-e'putsTOPLEVEL_BINDING===binding'false 最佳答案 事实是,TOPLEVEL_BINDING始终引用Binding的预定义全局实例,而Kernel#binding创建的新实例>Binding每次封装当前执行上下文。在顶层,它们都包含相同的绑定(bind),但它们不是同一个对象,您无法使用==或===测试它们的绑定(bind)相等性。putsTOPLEVEL_BINDINGput
我可以得到Infinity和NaNn=9.0/0#=>Infinityn.class#=>Floatm=0/0.0#=>NaNm.class#=>Float但是当我想直接访问Infinity或NaN时:Infinity#=>uninitializedconstantInfinity(NameError)NaN#=>uninitializedconstantNaN(NameError)什么是Infinity和NaN?它们是对象、关键字还是其他东西? 最佳答案 您看到打印为Infinity和NaN的只是Float类的两个特殊实例的字符串
如果您尝试在Ruby中的nil对象上调用方法,则会出现NoMethodError异常并显示消息:"undefinedmethod‘...’fornil:NilClass"然而,有一个tryRails中的方法,如果它被发送到一个nil对象,它只返回nil:require'rubygems'require'active_support/all'nil.try(:nonexisting_method)#noNoMethodErrorexceptionanymore那么try如何在内部工作以防止该异常? 最佳答案 像Ruby中的所有其他对象
关闭。这个问题需要detailsorclarity.它目前不接受答案。想改进这个问题吗?通过editingthispost添加细节并澄清问题.关闭8年前。Improvethisquestion为什么SecureRandom.uuid创建一个唯一的字符串?SecureRandom.uuid#=>"35cb4e30-54e1-49f9-b5ce-4134799eb2c0"SecureRandom.uuid方法创建的字符串从不重复?