사용자 암호없이 AD Kerberos 티켓 생성

Question

사용자를 대신하여 Kerberos 티켓을 생성해야하는 Java EE 서버 응용 프로그램을 개발 중입니다.

현재 개발중인 응용 프로그램은 대체 자격 증명 (비 Active Directory, 생체 인식)을 사용하여 사용자를 인증 한 다음 사용자가 인증되었음을 나타내는 Kerberos 티켓을 생성해야합니다. 그런 다음 Kerberos 티켓을 사용하여 SPNEGO 토큰을 생성하고 HTTP 헤더에 토큰을 삽입하여 사용자가 브라우저의 후속 요청에서 재 인증 할 필요가 없도록합니다.

사용자의 원시 AD 암호없이 사용자를 대신하여 Kerberos 티켓을 생성 할 수 있습니까? (나는 AD 서비스 계정 로그인 & 암호에 대한 액세스 권한이 있다고 가정). 가능하다면 어떻게 할 것인가? 어떤 종류의 구성, 사용 권한이 필요합니까?

Answer 1

예, 가능합니다. Microsoft는이를 위해 Kerberos를 확장했습니다. 이를 사용자 용 서비스 (S4U)라고합니다. 귀하의 사례는 S4U2Self (프로토콜 전환)입니다. 이것은 Java 8에서 사용할 수 있습니다. ticket을 확인하고 해당 코드를 Java가 승인 한 클래스 경로에 추가 할 수 있습니다. MIT Kerberos wiki에서 자세한 내용을 볼 수 있습니다.