ケルベロスのチケットからグループメンバーシップを取り出す方法は?

windows2008r2で生成されたKerberosチケットからグループメンバーシップ情報を抽出しようとしています。

URLで、私は次の声明を見つけました: Kerberosは、Kerberos認証データにグループメンバーシップ情報を含めるためのメカニズムも検討しています。 ACLにグループ名を含めることは好都合ですが、現在GSS-APIにはこれをサポートするメカニズムがありません。

MicrosoftはKerberosを拡張して、このURLに基​​づいてグループメンバーシップを含めるようです: http://msdn.microsoft.com/en-us/library/ms817918.aspx : Kerberos認証グループメンバーシップ拡張機能は、Kerberos認証ネットワークサービス(バージョン5)仕様を拡張し、Microsoft Windowsオペレーティングシステムの対話型ログオン認証とグループメンバシップ情報をサポートします。拡張機能には、Kerberos v5チケットの権限データフィールドにある特権アクセス証明書(PAC)構造が含まれています。

そのURLは、このAPIを使用してアクセスする方法を判断できないチケットのフィールド(Authorization Data)を参照します。 http://docs.oracle.com/javase /6/docs/api/org/ietf/jgss/GSSContext.html

誰でもそのフィールドにアクセスする方法を知っていますか?または、Windows2008 R2で生成されたKerberosチケットからグループ情報を抽出する方法に関するガイダンス。

私はJavaで書いていますが、Cで書いても構いません。チケットからグループ情報を抽出するロジックは、kerberosサーバーとしてウィンドウを使用していても、UNIX上で実行されています。

あなたが私に与えることができる何か助けをありがとう!

6

1 答え

PACフィールドを読み取るJavaではネイティブサポートはありません。 JaasLounge プロジェクトは、動作中のPACデコーダを持っていると主張しています。 Cを使用したい場合、Heimdalは PACサポートを行っています。私はそれがどれくらいの範囲で作用するかはわかりません。 がんばろう!

別の方法は、空き時間がある場合は、Microsoftのドキュメントを手に入れて、自分自身をKerberosチケットから読み取って、それからオープンソースプロジェクトを作成します.-D

1
追加された