curl - 使用SSPI进行Kerberos身份验证

注意：我设法取得一些进展，请参阅我当前问题的编辑，谢谢。

我想在Windows上使用libcurl来访问具有Kerberos / GSSAPI身份验证的网站。我首先尝试使用MIT Kerberos，但我还需要使用SSPI进行NTLM身份验证（libcurl不支持同时使用两种不同的实现）。所以我希望使用Windows SSPI库在Kerberos中进行身份验证。我设法用SSPI和SPNEGO支持编译libcurl。

现在我的问题是我需要使用提供的凭据连接到任何提供的域（它可能是当前用户的领域或不同的领域）。根据我的理解，我需要从secur32.dll / security.dll调用AcquireCredentialsHandle和InitializeSecurityContext来检索Kerberos票证。

但每次我试着让它发挥作用，我：

不要从SSPI缓存中提供的凭据/域的DC获取任何票证（我使用kerbtray.exe查看条目）。
- 使用这些方法时，我应该在此缓存中看到故障单吗？
在使用InitializeSecurityContext / AcceptSecurityContext的客户端/服务器环回调用ImpersonateSecurityContext并查看Wireshark中的数据包后使用libcurl，我看到libcurl不使用任何提供的凭据而是回退到NTLM（这只会导致验证失败）
- 环回客户端/服务器是否正常行为（我在网上找不到任何其他实现的示例）？
- 假设模仿成功，libcurl应该使用线程的模拟凭据吗？
- libcurl是否支持所有使用SSPI的NTLM + Kerberos（我甚至不确定......）？

为了便于调试和测试，您是否知道任何向SSPI缓存添加条目的工具，例如来自MIT Kerberos库的kinit？我正在使用Windows Server 2003资源工具包工具，但我找不到任何此类工具......

非常感谢任何帮助！

修改

好吧，我发现了如何使用libcurl制作我想要的东西。最后我假设我必须事先与SSPI做一些工作，但curl正确支持它。

curl将对kerberos域进行身份验证并将其存储在LSA缓存中。

使用curl.exe进行测试时，需要指定 - negotiate 参数以及用户名/密码。但是，使用libcurl时，只需将CURLOPT_HTTPAUTH选项设置为包含CURLAUTH_GSSNEGOTIATE的任何内容（例如CURLAUTH_ANY）。在我的测试中，libcurl完成了预期的Kerberos 握手：

联系网络服务器（web.b.com，其中B.COM是网络服务器的kerberos领域）
收到未经授权的回答， WWW-Authenticate 参数设置为 Negotiate
Libcurl / SSPI将TGS-REQ发送到当前用户域的域控制器（DC）（比如A.COM）
不知何故，下一个TGS-REQ被发送到Web服务器的域控制器（B.COM）
收到域名B.COM的Kerberos票证，并在LSA缓存中添加一个条目（可通过klist.exe或kerbtray.exe查看）
Libcurl使用授权信息（GSS-API）向Web服务器发送HTTP请求

然而，这是我的新问题，所有这些握手都是使用当前记录的凭据制作的，例如 user1@A.COM 。由于A.COM和B.COM之间存在信任，我的用户可以访问，因此可以使用。我更喜欢使用提供的凭据（ user2.B.COM ）来登录？

另外，我不太确定是否可以在与当前登录用户不同的用户的LSA缓存中添加条目？

如何通过模拟用户 user2.B.COM 以libcurl可以访问与此用户关联的故障单来对Web服务器进行身份验证的方式来完成此工作？

也许这将有助于将来的某个人，所以这是我对上面列出的问题的解决方案。

我使用LogonUser和ImpersonateLoggedOnUser方法来模拟指定用户的线程。使用它，curl使用与线程的用户身份相关联的LSA缓存，并设法使用该身份访问Web服务器。

在我的设置中，我收到以下Kerberos数据包：

A.COM的域控制器上的AS-REQ，带有KDC_ERR_WRONG_REALM响应
B.COM的域控制器上的AS-REQ，带有KRB5KDC_ERR_PREAUTH_REQUIRED响应
B.COM域控制器上的AS-REQ
B.COM域控制器上的TGS-REQ
带有GSS-API身份验证信息的HTTP请求

然后只要假冒有效，我就可以对B.COM上的Web服务器做任何我想要的任何请求。

使用SSPI进行Kerberos身份验证

1 个答案: