用于pas的windows集成身份验证(spnego/kerberos)插件
netsight.windowsauthplugin的Python项目详细描述
简介
==
或Linux)的环境中进行单点登录(SSO)。
windows在内部使用的身份验证机制称为集成windows身份验证。这将使用下面的
kerberos进行实际身份验证。
/>Unix或Windows服务器。它依赖于mit
kerberos库(在unix、linux、osx上)或windows中的本机windows sspi
库来进行kerberos身份验证。
基础结构设置
===
==
要使netsight.windowsauthplugin工作,您需要有一个
活动目录ectory服务器(或kerberos kdc)安装程序。对于这个
文档,我们假设:
-您已经有了一个工作的广告设置和用户帐户。
-您当前使用广告用户名/密码登录到一个Windows桌面。
-您有一个管理帐户或访问一个在广告上使用管理帐户
的用户,并且能够创建acounts
-您正在使用Microsoft Internet Explorer
-您正在Unix/Linux/OSX上运行PLONE服务器
internet explorer构造kerberos spn的方式取决于具有
dns a记录的主机。当您尝试使用ie访问站点并使用集成的windows身份验证时,ie将尝试基于将主机名解析为a记录来构造spn
。因此,为了避免出现
问题,请勿对DNS记录使用CNAMES。
这可以是
设置为永不过期的标准用户帐户。请确保在用户的属性中未选中"使用des"。
使用下面显示的*ktpass*工具创建SPN,具体取决于您为域控制器使用的Windows服务器版本。
下面的ktpass命令执行两项操作:
1。为服务创建spn
2。将keytab导出到指定的文件
,在下面的示例中:
-intranet.example.com是站点URL中使用的主机名
-example.com是您的活动目录域
-plonesvc是为将此SPN与
-c:\\ temp\\ intranet.k关联而创建的用户帐户。eytab是导出keytab的位置| Windows 2003 SP3 DC
+—————————————————————————————————————————————————————————————————————————————————————| AES256(不受WinXP支持)rc4
+——————————————————————————————————————————————————————————————————---——+
ktpass命令c:\\>;ktpass c:\\>;ktpass c:\\>;ktpass
|||Princ http://intranet.example.com@example.com124;-princ http://intranet.example.com&124;-1244;-princ http://intranet.example.com=124;-princ http://intranet.example.com@example.com=com=124;
>>>>>>>>>>>1244;>Mapuser plonesvc@example.com124;;页:1OM=124;
124;<124;>124;>-crypto RC4-HMAC-NT=124;;;>124;-crypto AES256-sha1=124;124;-crypto RC4-HMAC-NT=124;
124;124;124;124;ptype krb5=Unt=principal=124;\\\ \ PTE=1245=124;\ 124;\-ptype krb5 \ \ nt \ \ srv \ \ hst 124;
124;\ \ 124;\ \ 124;-pass long!$Longp2Ass3Word=124;$124;-Pass Long!Longp2Ass3Word=124;=124;
=124;>
=124;=124;;>124;-out c:\ \ Temp \ \ Temp=intranet.keytab=124;\\\\\ \ intranet.keytab \\\\\\\ \ intranet.keytab \\\\\\\\ \ 124 \--------------------------------------------------------------------------------------------------------------------------+------------------------------------------------+------------------------------------------------+
The keytab exported to *c:\\temp\\intranet.keytab* needs to be copied
securely to the server running Plone.
The default path for the keytab file inUNIX Environments is
/etc/krb5.keytab ` but it can be customized by defining ` krb5'\ \ ktname ` br/>environment variable.The Keytab must be readable by the user running the plone
process.
br/>br/>br/>br/>br/>troubleshooting
===========================================Minor Code May provide more information',851968,(',100005))
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>维基普EDIA.org/wiki/integrated \ \ windows>;` uu'` br/>this is Microsoft's is a term associated with Microsoft products
that refers to the spnego,kerberos,and NTLMSSP authentation
Protocols with respect to SSPI functionality introduced with
基于后视窗的操作系统The term is more commonly used for the automatically conficated connections between Microsoft Internet
information services,Internet explorer,and other active directory
aware applications.
>br/>>>Kerberos<
Authentication Services.
br/>>>>>>>>>>>>>>>>>>>>>>>主要服务名称(SPN<
连接到一个服务时,该客户端定位一个服务实例,
为该实例创建一个spn,连接到该服务,并且
为认证服务呈现spn。These often start
with the service/protocol being used and are then followed by the
hostname e e.g.http://intranet.example.com
http://en.wikipedia.org/wiki/spnego>>>>>>>>>
Explorer 5.01 and above to negotiate an authority
mechanism.The negotiable sub-mechanisms included NTLM and Kerberos,
both used in active directory
>` gssapi<;http://en.wikipedia.org/wiki/generic=uu security=uu services=application=uprogram=interface>;`
gssapi(通用安全服务应用程序接口)是一个ietf标准api,用于访问许多认证机制。gssapi本身不提供任何
安全性。取而代之的是,安全服务供应商提供gssapi
实现,通常以库的形式安装
他们的安全软件。
`sspi<;http://en.wikipedia.org/wiki/security\u support\u provider\u interface>;`
sspi(安全支持提供程序接口)是Microsoft Windows系统用来执行各种与安全相关的
操作,如身份验证。sspi是
gssapi的专有变体,具有扩展名和非常特定于windows的数据类型。对于
Windows 2000,添加了kerberos 5的实现,使用符合官方协议标准RFC 1964(kerberos 5 GSSAPI机制)的令牌
格式,并提供与其他供应商kerberos 5实现的有线级
互操作性。
`pas<;http://plone.org/documentation/manual/developper manual/users and security/pluggable authentication service/>;``u
pas(pluggable authentication service)是zope和plone用于管理用户的模块化sutthantion
系统。pas是围绕接口和插件的概念构建的:所有可能的与用户和组管理和身份验证相关的任务都在单独的接口中描述。这些接口由插件实现,每个接口都可以有选择地启用这些插件。
`active directory<;http://en.wikipedia.org/wiki/active\u directory>;`
active directory(ad)是Microsoft为Windows域网络创建的目录服务。它包含在大多数windows服务器操作系统中。
active directory为网络管理和安全提供了一个中心位置。运行active
目录的服务器计算机称为域控制器。ad域控制器
对windows
域类型网络中的所有用户和计算机进行身份验证和授权,为
所有计算机和安装或更新软件分配和实施安全策略。例如,当用户登录到属于windows域的计算机时,active
directory会检查提交的密码,并确定
用户是系统管理员还是普通用户。
active directory使用轻型目录访问协议
(ldap)版本2和3、kerberos和dns。
>更改历史
**************************
>2.3.1(2014-07-04)2.3.1(2014-07-04)
----
>
-修复了"来自‘来自‘来自‘来自‘来自‘来自‘来自‘来自’的重定向不正常工作的问题
>2.2.2(2014-03-03-04-04-04)2.
-————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————如果要使用LDAP查找
用户详细信息,请使用单独的LDAP PAS插件
-仅当您在egg中添加[unix]
选项时,kerberos python库才会安装-现在,我们将用户名解码为Unicode,然后再返回
1.3(2013-03-18)
----
-修复了最后丢失的readme.txt
1.2(2013-03-18)1.2(2013-03-2013-03-18)版
--------
>
>
-立即处理子请求(p.a.主题制作制作制作制作制作)
>1.2(2013-03-2013-03-18)现在处理子请求(p.a.2013-03-18)
<0.9初始发行版
>
>
>1.2(2013-03-18)1.a.a.主题制作制作制作制作(p.2013-2013-2013-03-2013-2013-2013-03-18)*****
download
用户 插件 身份验证 windows kerberos spnego pas intranet netsight
==
或Linux)的环境中进行单点登录(SSO)。
windows在内部使用的身份验证机制称为集成windows身份验证。这将使用下面的
kerberos进行实际身份验证。
/>Unix或Windows服务器。它依赖于mit
kerberos库(在unix、linux、osx上)或windows中的本机windows sspi
库来进行kerberos身份验证。
基础结构设置
===
==
要使netsight.windowsauthplugin工作,您需要有一个
活动目录ectory服务器(或kerberos kdc)安装程序。对于这个
文档,我们假设:
-您已经有了一个工作的广告设置和用户帐户。
-您当前使用广告用户名/密码登录到一个Windows桌面。
-您有一个管理帐户或访问一个在广告上使用管理帐户
的用户,并且能够创建acounts
-您正在使用Microsoft Internet Explorer
-您正在Unix/Linux/OSX上运行PLONE服务器
internet explorer构造kerberos spn的方式取决于具有
dns a记录的主机。当您尝试使用ie访问站点并使用集成的windows身份验证时,ie将尝试基于将主机名解析为a记录来构造spn
。因此,为了避免出现
问题,请勿对DNS记录使用CNAMES。
这可以是
设置为永不过期的标准用户帐户。请确保在用户的属性中未选中"使用des"。
使用下面显示的*ktpass*工具创建SPN,具体取决于您为域控制器使用的Windows服务器版本。
下面的ktpass命令执行两项操作:
1。为服务创建spn
2。将keytab导出到指定的文件
,在下面的示例中:
-intranet.example.com是站点URL中使用的主机名
-example.com是您的活动目录域
-plonesvc是为将此SPN与
-c:\\ temp\\ intranet.k关联而创建的用户帐户。eytab是导出keytab的位置| Windows 2003 SP3 DC
+—————————————————————————————————————————————————————————————————————————————————————| AES256(不受WinXP支持)rc4
+——————————————————————————————————————————————————————————————————---——+
ktpass命令c:\\>;ktpass c:\\>;ktpass c:\\>;ktpass
|||Princ http://intranet.example.com@example.com124;-princ http://intranet.example.com&124;-1244;-princ http://intranet.example.com=124;-princ http://intranet.example.com@example.com=com=124;
>>>>>>>>>>>1244;>Mapuser plonesvc@example.com124;;页:1OM=124;
124;<124;>124;>-crypto RC4-HMAC-NT=124;;;>124;-crypto AES256-sha1=124;124;-crypto RC4-HMAC-NT=124;
124;124;124;124;ptype krb5=Unt=principal=124;\\\ \ PTE=1245=124;\ 124;\-ptype krb5 \ \ nt \ \ srv \ \ hst 124;
124;\ \ 124;\ \ 124;-pass long!$Longp2Ass3Word=124;$124;-Pass Long!Longp2Ass3Word=124;=124;
=124;>
=124;=124;;>124;-out c:\ \ Temp \ \ Temp=intranet.keytab=124;\\\\\ \ intranet.keytab \\\\\\\ \ intranet.keytab \\\\\\\\ \ 124 \--------------------------------------------------------------------------------------------------------------------------+------------------------------------------------+------------------------------------------------+
The keytab exported to *c:\\temp\\intranet.keytab* needs to be copied
securely to the server running Plone.
The default path for the keytab file inUNIX Environments is
/etc/krb5.keytab ` but it can be customized by defining ` krb5'\ \ ktname ` br/>environment variable.The Keytab must be readable by the user running the plone
process.
br/>br/>br/>br/>br/>troubleshooting
===========================================Minor Code May provide more information',851968,(',100005))
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>维基普EDIA.org/wiki/integrated \ \ windows>;` uu'` br/>this is Microsoft's is a term associated with Microsoft products
that refers to the spnego,kerberos,and NTLMSSP authentation
Protocols with respect to SSPI functionality introduced with
基于后视窗的操作系统The term is more commonly used for the automatically conficated connections between Microsoft Internet
information services,Internet explorer,and other active directory
aware applications.
>br/>>>Kerberos<
Authentication Services.
br/>>>>>>>>>>>>>>>>>>>>>>>主要服务名称(SPN<
连接到一个服务时,该客户端定位一个服务实例,
为该实例创建一个spn,连接到该服务,并且
为认证服务呈现spn。These often start
with the service/protocol being used and are then followed by the
hostname e e.g.http://intranet.example.com
http://en.wikipedia.org/wiki/spnego>>>>>>>>>
Explorer 5.01 and above to negotiate an authority
mechanism.The negotiable sub-mechanisms included NTLM and Kerberos,
both used in active directory
>` gssapi<;http://en.wikipedia.org/wiki/generic=uu security=uu services=application=uprogram=interface>;`
gssapi(通用安全服务应用程序接口)是一个ietf标准api,用于访问许多认证机制。gssapi本身不提供任何
安全性。取而代之的是,安全服务供应商提供gssapi
实现,通常以库的形式安装
他们的安全软件。
`sspi<;http://en.wikipedia.org/wiki/security\u support\u provider\u interface>;`
sspi(安全支持提供程序接口)是Microsoft Windows系统用来执行各种与安全相关的
操作,如身份验证。sspi是
gssapi的专有变体,具有扩展名和非常特定于windows的数据类型。对于
Windows 2000,添加了kerberos 5的实现,使用符合官方协议标准RFC 1964(kerberos 5 GSSAPI机制)的令牌
格式,并提供与其他供应商kerberos 5实现的有线级
互操作性。
`pas<;http://plone.org/documentation/manual/developper manual/users and security/pluggable authentication service/>;``u
pas(pluggable authentication service)是zope和plone用于管理用户的模块化sutthantion
系统。pas是围绕接口和插件的概念构建的:所有可能的与用户和组管理和身份验证相关的任务都在单独的接口中描述。这些接口由插件实现,每个接口都可以有选择地启用这些插件。
`active directory<;http://en.wikipedia.org/wiki/active\u directory>;`
active directory(ad)是Microsoft为Windows域网络创建的目录服务。它包含在大多数windows服务器操作系统中。
active directory为网络管理和安全提供了一个中心位置。运行active
目录的服务器计算机称为域控制器。ad域控制器
对windows
域类型网络中的所有用户和计算机进行身份验证和授权,为
所有计算机和安装或更新软件分配和实施安全策略。例如,当用户登录到属于windows域的计算机时,active
directory会检查提交的密码,并确定
用户是系统管理员还是普通用户。
active directory使用轻型目录访问协议
(ldap)版本2和3、kerberos和dns。
>更改历史
**************************
>2.3.1(2014-07-04)2.3.1(2014-07-04)
----
>
-修复了"来自‘来自‘来自‘来自‘来自‘来自‘来自‘来自’的重定向不正常工作的问题
>2.2.2(2014-03-03-04-04-04)2.
-————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————如果要使用LDAP查找
用户详细信息,请使用单独的LDAP PAS插件
-仅当您在egg中添加[unix]
选项时,kerberos python库才会安装-现在,我们将用户名解码为Unicode,然后再返回
1.3(2013-03-18)
----
-修复了最后丢失的readme.txt
1.2(2013-03-18)1.2(2013-03-2013-03-18)版
--------
>
>
-立即处理子请求(p.a.主题制作制作制作制作制作)
>1.2(2013-03-2013-03-18)现在处理子请求(p.a.2013-03-18)
<0.9初始发行版
>
>
>1.2(2013-03-18)1.a.a.主题制作制作制作制作(p.2013-2013-2013-03-2013-2013-2013-03-18)*****
download
标签:
欢迎加入QQ群-->: 979659372
