abertalan
I'm new here

FirstSpirit 5.1 Kerberos Single-Sign-On mit Internet Explorer 11

Jump to solution

Hallo FirstSpirit Community,

wir haben aktuell das Problem, dass wir als Client im Konzern den Internet Explorer 11 einsetzen und dass unsere FirstSpirit Version 5.1.414.67329 in der Kostellation ein Problem mit dem Single-Sign-On hat.

Das SSO läßt sich zwar mit dem Kompatibilitätsmodus des IE11 lösen, aber durch den dann simulierten Internet Explorer 8 funktioniert eine grundlegende Funktion im Webclient nicht. Daher würden wir gerne auf den Kompatibilitätsmodus des IE11 verzichten, bekommen aber das SSO damit nicht zum laufen.

Serverseitig scheint es ken Problem zu sein, da das Kerberos SSO mit dem simulierten IE8 und Firefox funktioniert, nur mit dem IE11 als Client funktioniert es nicht.

Hat jemand schon mal ein ähnliche Problem gehabt und lösen können?

Noch zur Technik: Unser FirstSpirit Server läuft SLES 11 (Suse Linux Enterprise) mit Apache Tomcat 7 und JDK java 8.

Attila B.

0 Kudos
1 Solution

Accepted Solutions

Damit ist die Ursache klar: Das KerberosLoginModule hat den Browser-Request ignoriert, siehe "Kerberos authentication skipped",

weil es ohne weitere Konfigurationsänderung die Kerberos-Authentifizierung nur bei folgendem Regex-Pattern für die Browserkennung auslöst:

.*(Firefox|Iceweasel|Konqueror|MSIE|Opera|Safari|Shiretoko).*

Lösung: In der Datei fs-jaas.conf, bzw. der mittels -Djava.security.auth.login.config=pfad/dateiname dem Tomcat übergebenen, folgendes in der Zeile mit "KerberosLoginModule" eintragen:


de.espirit.firstspirit.server.authentication.KerberosLoginModule optional useFullPrincipal="false" userAgents=".*(Firefox|Iceweasel|Konqueror|MSIE|Trident|Opera|Safari|Shiretoko).*";

Um alle Browser zuzulassen könnte man auch userAgents=".*" schreiben, nur wird dann bei Monitoring-Systemen ebenfalls Kerberos versucht, was zu vermeiden ist.


View solution in original post

0 Kudos
9 Replies
Peter_Jodeleit
Crownpeak employee

Welches JDK Version genau wird eingesetzt? Eventuell hiermit verwandt?

Peter
0 Kudos

Vielen Dank für die Rückmeldung. Daran liegt es leider nicht. Auf das SSO-Problem mit Java Version > 8.40 sind wir beim Testen auch schon gestoßen und haben daher aktuell:

java version "1.8.0_31"

Java(TM) SE Runtime Environment (build 1.8.0_31-b13)

Java HotSpot(TM) 64-Bit Server VM (build 25.31-b07, mixed mode)

im Einsatz. Wie schon beschrieben kann es kein sererseitiges Problem sein, da das SSO mit Firefox und IE8 funktioniert. Nur mit IE11.0 funktioniert es nicht.

0 Kudos

Möglicherweise ist der Auslöser das von Microsoft neu hinzugefügte Protokoll NEGOEX, was seit Windows  7 teilweise parallel zu NTLM-SPNEGO und Kerberos-SPNEGO eingesetzt wird. Dazu sind aktuell noch keine Workarounds bekannt, siehe folgende Problembeschreibungen zum Oracle- und OpenJDK:

https://bugs.openjdk.java.net/browse/JDK-8068516

http://bugs.java.com/bugdatabase/view_bug.do?bug_id=6773898

Interesssant ist noch die genaue Fehlermeldung aus firstspirit5/fs-server.log während des Anmeldevorgangs (grep KerberosLoginModule fs-server.log).

Zusätzlich bitte den Anmeldevorgang einmal mit Java 7 statt Java 8 für Tomcat testen.

0 Kudos

Danke für die Hinweise.

Im fs-server.log tauch das KerberosLoginModul gar nicht auf. Hier ein erfolgreicher SSO mit Firefox:

DEBUG 08.05.2015 15:23:06.164 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [723571492] login context 'webplain' created.

DEBUG 08.05.2015 15:23:06.165 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [723571492] initialize...

DEBUG 08.05.2015 15:23:06.167 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [723571492] login: [LdapLoginModule/LoginModuleControlFlag: optional]

DEBUG 08.05.2015 15:23:06.167 (de.espirit.firstspirit.server.authentication.LdapLoginModule): login...

DEBUG 08.05.2015 15:23:06.167 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): request for callbacks handled without c/s roundtrip.

DEBUG 08.05.2015 15:23:06.167 (de.espirit.firstspirit.server.authentication.LdapLoginModule): name/password missing!

DEBUG 08.05.2015 15:23:06.168 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [723571492] initialize...

DEBUG 08.05.2015 15:23:06.168 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [723571492] login: [LdapLoginModule/LoginModuleControlFlag: optional]

DEBUG 08.05.2015 15:23:06.168 (de.espirit.firstspirit.server.authentication.LdapLoginModule): login...

DEBUG 08.05.2015 15:23:06.168 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): request for callbacks handled without c/s roundtrip.

DEBUG 08.05.2015 15:23:06.168 (de.espirit.firstspirit.server.authentication.LdapLoginModule): name/password missing!

DEBUG 08.05.2015 15:23:06.169 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [723571492] initialize...

DEBUG 08.05.2015 15:23:06.169 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [723571492] login: [FSUserLoginModule/LoginModuleControlFlag: optional]

DEBUG 08.05.2015 15:23:06.169 (de.espirit.firstspirit.server.authentication.FSUserLoginModule): try to login...

DEBUG 08.05.2015 15:23:06.169 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): request for callbacks handled without c/s roundtrip.

DEBUG 08.05.2015 15:23:06.169 (de.espirit.firstspirit.server.authentication.FSUserLoginModule): name/password missing!

DEBUG 08.05.2015 15:23:06.170 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [723571492] abort: [LdapLoginModule/LoginModuleControlFlag: optional]

DEBUG 08.05.2015 15:23:06.171 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [723571492] abort: [LdapLoginModule/LoginModuleControlFlag: optional]

DEBUG 08.05.2015 15:23:06.171 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [723571492] abort: [FSUserLoginModule/LoginModuleControlFlag: optional]

DEBUG 08.05.2015 15:23:06.171 (de.espirit.firstspirit.server.authentication.FSUserLoginModule): aborting...

DEBUG 08.05.2015 15:23:06.172 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [723571492] login context destroyed.

DEBUG 08.05.2015 15:23:16.470 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [2137703315] login context 'websso' created.

DEBUG 08.05.2015 15:23:16.472 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [2137703315] initialize...

DEBUG 08.05.2015 15:23:16.472 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [2137703315] login: [FSTicketLoginModule/LoginModuleControlFlag: sufficient]

DEBUG 08.05.2015 15:23:16.472 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): request for callbacks handled without c/s roundtrip.

DEBUG 08.05.2015 15:23:16.472 (de.espirit.firstspirit.server.authentication.FSTicketLoginModule): ticket not found!

DEBUG 08.05.2015 15:23:16.482 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [2137703315] initialize...

DEBUG 08.05.2015 15:23:16.483 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [2137703315] login: [LdapLoginModule/LoginModuleControlFlag: optional]

DEBUG 08.05.2015 15:23:16.483 (de.espirit.firstspirit.server.authentication.LdapLoginModule): login...

DEBUG 08.05.2015 15:23:16.483 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): request for callbacks handled without c/s roundtrip.

DEBUG 08.05.2015 15:23:16.483 (de.espirit.firstspirit.server.authentication.LdapLoginModule): name/password missing!

DEBUG 08.05.2015 15:23:16.483 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [2137703315] initialize...

DEBUG 08.05.2015 15:23:16.484 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [2137703315] login: [LdapLoginModule/LoginModuleControlFlag: optional]

DEBUG 08.05.2015 15:23:16.484 (de.espirit.firstspirit.server.authentication.LdapLoginModule): login...

DEBUG 08.05.2015 15:23:16.484 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): request for callbacks handled without c/s roundtrip.

DEBUG 08.05.2015 15:23:16.484 (de.espirit.firstspirit.server.authentication.LdapLoginModule): name/password missing!

DEBUG 08.05.2015 15:23:16.484 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [2137703315] initialize...

DEBUG 08.05.2015 15:23:16.485 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [2137703315] login: [FSUserLoginModule/LoginModuleControlFlag: optional]

DEBUG 08.05.2015 15:23:16.485 (de.espirit.firstspirit.server.authentication.FSUserLoginModule): try to login...

DEBUG 08.05.2015 15:23:16.485 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): request for callbacks handled without c/s roundtrip.

DEBUG 08.05.2015 15:23:16.485 (de.espirit.firstspirit.server.authentication.FSUserLoginModule): name/password missing!

DEBUG 08.05.2015 15:23:16.486 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [2137703315] commit: [FSTicketLoginModule/LoginModuleControlFlag: sufficient]

DEBUG 08.05.2015 15:23:16.486 (de.espirit.firstspirit.server.authentication.FSTicketLoginModule): commit failed.

DEBUG 08.05.2015 15:23:16.487 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [2137703315] commit: [LdapLoginModule/LoginModuleControlFlag: optional]

DEBUG 08.05.2015 15:23:16.487 (de.espirit.firstspirit.server.authentication.LdapLoginModule): commit...

hier erfolgloser SSO mit Internet Explorer 11:

DEBUG 08.05.2015 15:22:21.118 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [817520598] login context 'websso' created.

DEBUG 08.05.2015 15:22:21.119 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [817520598] initialize...

DEBUG 08.05.2015 15:22:21.120 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [817520598] login: [FSTicketLoginModule/LoginModuleControlFlag: sufficient]

DEBUG 08.05.2015 15:22:21.120 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): request for callbacks handled without c/s roundtrip.

DEBUG 08.05.2015 15:22:21.120 (de.espirit.firstspirit.server.authentication.FSTicketLoginModule): ticket not found!

DEBUG 08.05.2015 15:22:21.122 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [817520598] initialize...

DEBUG 08.05.2015 15:22:21.123 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [817520598] login: [LdapLoginModule/LoginModuleControlFlag: optional]

DEBUG 08.05.2015 15:22:21.123 (de.espirit.firstspirit.server.authentication.LdapLoginModule): login...

DEBUG 08.05.2015 15:22:21.123 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): request for callbacks handled without c/s roundtrip.

DEBUG 08.05.2015 15:22:21.123 (de.espirit.firstspirit.server.authentication.LdapLoginModule): name/password missing!

DEBUG 08.05.2015 15:22:21.123 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [817520598] initialize...

DEBUG 08.05.2015 15:22:21.124 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [817520598] login: [LdapLoginModule/LoginModuleControlFlag: optional]

DEBUG 08.05.2015 15:22:21.124 (de.espirit.firstspirit.server.authentication.LdapLoginModule): login...

DEBUG 08.05.2015 15:22:21.124 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): request for callbacks handled without c/s roundtrip.

DEBUG 08.05.2015 15:22:21.124 (de.espirit.firstspirit.server.authentication.LdapLoginModule): name/password missing!

DEBUG 08.05.2015 15:22:21.125 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [817520598] initialize...

DEBUG 08.05.2015 15:22:21.125 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [817520598] login: [FSUserLoginModule/LoginModuleControlFlag: optional]

DEBUG 08.05.2015 15:22:21.125 (de.espirit.firstspirit.server.authentication.FSUserLoginModule): try to login...

DEBUG 08.05.2015 15:22:21.125 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): request for callbacks handled without c/s roundtrip.

DEBUG 08.05.2015 15:22:21.125 (de.espirit.firstspirit.server.authentication.FSUserLoginModule): name/password missing!

DEBUG 08.05.2015 15:22:21.126 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [817520598] abort: [FSTicketLoginModule/LoginModuleControlFlag: sufficient]

DEBUG 08.05.2015 15:22:21.127 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [817520598] abort: [LdapLoginModule/LoginModuleControlFlag: optional]

DEBUG 08.05.2015 15:22:21.127 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [817520598] abort: [LdapLoginModule/LoginModuleControlFlag: optional]

DEBUG 08.05.2015 15:22:21.128 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [817520598] abort: [FSUserLoginModule/LoginModuleControlFlag: optional]

DEBUG 08.05.2015 15:22:21.128 (de.espirit.firstspirit.server.authentication.FSUserLoginModule): aborting...

DEBUG 08.05.2015 15:22:21.129 (de.espirit.firstspirit.server.authentication.AuthenticationManagerImpl): [817520598] login context destroyed.

0 Kudos

Bei der Frage nach dem Log hatte ich den Tomcat vergessen. Die SSO-Loginmodule loggen nur auf Ebene der WebApp. Also im tomcat/log/catalina.out bzw. tomcat/log/firstspirit.log sollte KerberosLoginModule bei aktiviertem Loglevel DEBUG in tomcat/lib/log4j.properties zu finden sein.

0 Kudos

hier mal aus dem firstspirit.log :

IE11 (failed SSO):

[2015-05-08 16:06:07,930] ajp-bio-8709-exec-3 de.espirit.firstspirit.io.servlet.WebAuthentication DEBUG - try to login with configuration 'websso' ()...

[2015-05-08 16:06:07,975] ajp-bio-8709-exec-3 de.espirit.firstspirit.server.event.EventManagerProxy DEBUG - added event listener 'de.espirit.firstspirit.server.module.ModuleManagerProxy$ClientModuleManager@27806b1c', filter=ModuleEventFilter, handle=-931221999

[2015-05-08 16:06:07,985] ajp-bio-8709-exec-3 de.espirit.firstspirit.server.authentication.AuthLoginContext DEBUG - [1985974739] login configuration 'websso' created.

[2015-05-08 16:06:07,986] ajp-bio-8709-exec-3 de.espirit.firstspirit.server.authentication.AuthLoginContext DEBUG - [1985974739] login...

[2015-05-08 16:06:08,006] ajp-bio-8709-exec-3 de.espirit.firstspirit.server.authentication.KerberosLoginModule DEBUG - initialize...

[2015-05-08 16:06:08,029] ajp-bio-8709-exec-3 de.espirit.firstspirit.server.authentication.KerberosLoginModule DEBUG - login...

[2015-05-08 16:06:08,030] ajp-bio-8709-exec-3 de.espirit.firstspirit.server.authentication.KerberosLoginModule DEBUG - SPNEGO based Kerberos authentication skipped. User agent "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" doesn't match.

[2015-05-08 16:06:08,030] ajp-bio-8709-exec-3 de.espirit.firstspirit.server.authentication.KerberosLoginModule DEBUG - initialize...

[2015-05-08 16:06:08,032] ajp-bio-8709-exec-3 de.espirit.firstspirit.server.authentication.KerberosLoginModule DEBUG - login...

[2015-05-08 16:06:08,032] ajp-bio-8709-exec-3 de.espirit.firstspirit.server.authentication.KerberosLoginModule DEBUG - SPNEGO based Kerberos authentication skipped. User agent "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" doesn't match.

[2015-05-08 16:06:08,045] ajp-bio-8709-exec-3 de.espirit.firstspirit.server.authentication.KerberosLoginModule DEBUG - aborting...

[2015-05-08 16:06:08,046] ajp-bio-8709-exec-3 de.espirit.firstspirit.server.authentication.KerberosLoginModule DEBUG - aborting...

[2015-05-08 16:06:08,051] ajp-bio-8709-exec-3 de.espirit.firstspirit.server.authentication.AuthLoginContext DEBUG - [1985974739] login failed: javax.security.auth.login.LoginException: Anmeldefehler: Alle Module werden ignoriert

[2015-05-08 16:06:08,051] ajp-bio-8709-exec-3 de.espirit.firstspirit.io.servlet.WebAuthentication DEBUG - web authentication failed: javax.security.auth.login.LoginException: Anmeldefehler: Alle Module werden ignoriert, remote address: 10.3.83.49, user agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko

[2015-05-08 16:06:08,056] ajp-bio-8709-exec-3 de.espirit.firstspirit.io.servlet.WebAuthentication DEBUG - authentication failed, request authentication.

[2015-05-08 16:06:08,392] MBeanPropertyLoggerTimer de.espirit.firstspirit.server.statistic.MBeanPropertyLogger INFO  - Register MemoryPoolMXBean java.lang:type=MemoryPool,name=Code Cache

[2015-05-08 16:06:08,393] MBeanPropertyLoggerTimer de.espirit.firstspirit.server.statistic.MBeanPropertyLogger INFO  - Register MemoryPoolMXBean java.lang:type=MemoryPool,name=Metaspace

[2015-05-08 16:06:08,393] MBeanPropertyLoggerTimer de.espirit.firstspirit.server.statistic.MBeanPropertyLogger INFO  - Register MemoryPoolMXBean java.lang:type=MemoryPool,name=Compressed Class Space

[2015-05-08 16:06:08,393] MBeanPropertyLoggerTimer de.espirit.firstspirit.server.statistic.MBeanPropertyLogger INFO  - Register MemoryPoolMXBean java.lang:type=MemoryPool,name=Par Eden Space

[2015-05-08 16:06:08,394] MBeanPropertyLoggerTimer de.espirit.firstspirit.server.statistic.MBeanPropertyLogger INFO  - Register MemoryPoolMXBean java.lang:type=MemoryPool,name=Par Survivor Space

[2015-05-08 16:06:08,394] MBeanPropertyLoggerTimer de.espirit.firstspirit.server.statistic.MBeanPropertyLogger INFO  - Register MemoryPoolMXBean java.lang:type=MemoryPool,name=CMS Old Gen

Firefox (sucessful SSO):

[2015-05-08 16:07:02,414] ajp-bio-8709-exec-2 de.espirit.firstspirit.io.servlet.WebAuthentication DEBUG - try to login with configuration 'websso' (login=websso)...

[2015-05-08 16:07:02,416] ajp-bio-8709-exec-2 de.espirit.firstspirit.server.authentication.AuthLoginContext DEBUG - [1089390893] login configuration 'websso' created.

[2015-05-08 16:07:02,417] ajp-bio-8709-exec-2 de.espirit.firstspirit.server.authentication.AuthLoginContext DEBUG - [1089390893] login...

[2015-05-08 16:07:02,421] ajp-bio-8709-exec-2 de.espirit.firstspirit.server.authentication.KerberosLoginModule DEBUG - initialize...

[2015-05-08 16:07:02,423] ajp-bio-8709-exec-2 de.espirit.firstspirit.server.authentication.KerberosLoginModule DEBUG - login...

[2015-05-08 16:07:02,424] ajp-bio-8709-exec-2 de.espirit.firstspirit.server.authentication.KerberosLoginModule DEBUG - received SPNEGO Authorization-Header: Negotiate YIIPq...

[2015-05-08 16:07:02,438] ajp-bio-8709-exec-2 de.espirit.firstspirit.server.authentication.KerberosLoginModule DEBUG - mechanism: Kerberos 5

[2015-05-08 16:07:02,438] ajp-bio-8709-exec-2 de.espirit.firstspirit.server.authentication.KerberosLoginModule DEBUG - source principal: BERTALA@ENBW.NET

[2015-05-08 16:07:02,438] ajp-bio-8709-exec-2 de.espirit.firstspirit.server.authentication.KerberosLoginModule DEBUG - target principal: HTTP/s3p2060.enbw.net@ENBW.NET

[2015-05-08 16:07:02,438] ajp-bio-8709-exec-2 de.espirit.firstspirit.server.authentication.KerberosLoginModule DEBUG - Sending SPNEGO Kerberos authentication accept response. WWW-Authenticate: Negotiate oYHrM...

[2015-05-08 16:07:02,439] ajp-bio-8709-exec-2 de.espirit.firstspirit.server.authentication.KerberosLoginModule DEBUG - GSSContext established.

[2015-05-08 16:07:02,439] ajp-bio-8709-exec-2 de.espirit.firstspirit.server.authentication.KerberosLoginModule DEBUG - login successful. principal "BERTALA@ENBW.NET" mapped to FirstSpirit user "BERTALA"

[2015-05-08 16:07:02,439] ajp-bio-8709-exec-2 de.espirit.firstspirit.server.authentication.KerberosLoginModule DEBUG - initialize...

[2015-05-08 16:07:02,440] ajp-bio-8709-exec-2 de.espirit.firstspirit.server.authentication.KerberosLoginModule DEBUG - login...

[2015-05-08 16:07:02,441] ajp-bio-8709-exec-2 de.espirit.firstspirit.server.authentication.KerberosLoginModule DEBUG - received SPNEGO Authorization-Header: Negotiate YIIPq...

[2015-05-08 16:07:02,445] ajp-bio-8709-exec-2 de.espirit.firstspirit.server.authentication.KerberosLoginModule ERROR - login failed! Failure unspecified at GSS-API level (Mechanism level: Request is a replay (34))

[2015-05-08 16:07:02,453] ajp-bio-8709-exec-2 de.espirit.firstspirit.server.authentication.KerberosLoginModule DEBUG - commit...

[2015-05-08 16:07:02,454] ajp-bio-8709-exec-2 de.espirit.firstspirit.server.authentication.KerberosLoginModule DEBUG - commit successful.

[2015-05-08 16:07:02,454] ajp-bio-8709-exec-2 de.espirit.firstspirit.server.authentication.KerberosLoginModule DEBUG - commit...

[2015-05-08 16:07:02,454] ajp-bio-8709-exec-2 de.espirit.firstspirit.server.authentication.KerberosLoginModule DEBUG - commit failed.

[2015-05-08 16:07:02,551] ajp-bio-8709-exec-2 de.espirit.firstspirit.server.authentication.AuthLoginContext DEBUG - [1089390893] login successful

[2015-05-08 16:07:02,556] ajp-bio-8709-exec-2 de.espirit.firstspirit.server.event.EventManagerProxy DEBUG - added event listener 'de.espirit.firstspirit.client.io.WebConnection$SessionLogoutListener@24215f47', filter=de.espirit.firstspirit.client.io.WebConnection$SessionLogoutListener@24215f47, handle=-382787362

[2015-05-08 16:07:02,556] ajp-bio-8709-exec-2 de.espirit.firstspirit.client.io.WebConnection DEBUG - web connection added to session

[2015-05-08 16:07:02,557] ajp-bio-8709-exec-2 de.espirit.firstspirit.io.servlet.WebMessageHandler DEBUG - Web message handler added to session

[2015-05-08 16:07:02,558] ajp-bio-8709-exec-2 de.espirit.firstspirit.server.event.EventManagerProxy DEBUG - added event listener 'WeakRefEventListener[active/delegate=de.espirit.firstspirit.io.servlet.WebMessageHandler@8c94973]', filter=MessageEventFilter[sessionId=6527106088105404418], handle=790356581

[2015-05-08 16:07:02,558] ajp-bio-8709-exec-2 de.espirit.firstspirit.io.servlet.WebAuthentication INFO  - web login successful, user=UserDTO[id=1892403, login=BERTALA, name='Attila Bertalan', mail=A.Bertalan@EnBW.com], session=6527106088105404418

[2015-05-08 16:07:02,559] ajp-bio-8709-exec-2 de.espirit.firstspirit.io.servlet.WebAuthentication DEBUG - authentication successful!

[2015-05-08 16:07:02,565] ajp-bio-8709-exec-2 de.espirit.firstspirit.server.event.EventManagerProxy DEBUG - added event listener 'WeakRefEventListener[active/delegate=de.espirit.firstspirit.admin.AdminImpl$UserEventListener@3fef5c79]', filter=TypeEventFilter[type=USER], handle=-1037276988

0 Kudos

Damit ist die Ursache klar: Das KerberosLoginModule hat den Browser-Request ignoriert, siehe "Kerberos authentication skipped",

weil es ohne weitere Konfigurationsänderung die Kerberos-Authentifizierung nur bei folgendem Regex-Pattern für die Browserkennung auslöst:

.*(Firefox|Iceweasel|Konqueror|MSIE|Opera|Safari|Shiretoko).*

Lösung: In der Datei fs-jaas.conf, bzw. der mittels -Djava.security.auth.login.config=pfad/dateiname dem Tomcat übergebenen, folgendes in der Zeile mit "KerberosLoginModule" eintragen:


de.espirit.firstspirit.server.authentication.KerberosLoginModule optional useFullPrincipal="false" userAgents=".*(Firefox|Iceweasel|Konqueror|MSIE|Trident|Opera|Safari|Shiretoko).*";

Um alle Browser zuzulassen könnte man auch userAgents=".*" schreiben, nur wird dann bei Monitoring-Systemen ebenfalls Kerberos versucht, was zu vermeiden ist.


0 Kudos

Hm eine ähnliche Ideen wir auch schon. Der websso-Part in des fs-jaas.conf sieht bei uns aktuell so aus:

/* FirstSpirit start page with SSO: WebClient, JavaClient with Webstart */

websso {

        de.espirit.firstspirit.server.authentication.FSTicketLoginModule sufficient;

        de.espirit.firstspirit.server.authentication.KerberosLoginModule optional useFullPrincipal="false";

        de.espirit.firstspirit.server.authentication.KerberosLoginModule optional userAgent=".*";

/*      de.espirit.firstspirit.server.authentication.LdapLoginModule optional section="LDAP"; */

        de.espirit.firstspirit.server.authentication.LdapLoginModule optional section="LDAP_1";

        de.espirit.firstspirit.server.authentication.LdapLoginModule optional section="LDAP_2";

        de.espirit.firstspirit.server.authentication.FSUserLoginModule optional;

};

Ist das syntaktisch falsch, muss also in eine zeile?

0 Kudos

Tja, da hatten wir wohl schon die richtige Idee nur syntaktisch falsch in der fs-jaas.conf aufgenommen. Mit der richtigen Syntax geht es nun.

0 Kudos