Artiflo Inside » Java

Authentification Kerberos en JNDI

Florian Cristina — Tue, 11 Aug 2009 20:39:20 +0000

La documentation officiel java au sujet de l’authentification kerberos en JNDI est très bien faite. Mais je vais quand même me faire un petit mémo à ce sujet.

Le but du jeu est de mettre en place un processus d’authentification sécurisé entre une application java sur un poste en Windows XP et un controleur de domaine active directory sur Windows 2003. Le login et mot de passe utilisé sont ceux de l’utilisateur définis dans l’AD. Tout ceci en utilisant JNDI pour les requêtes LDAP.

Il existe plusieurs méthode d’authentification sécurisé SASL pour JNDI. Je vais ici parler uniquement de l’authentification en Kerberos v5 à travers la GSSAPI.

1 / Connaitre les protocoles accepter par le serveur.

Dans un premier temps, il faut être sur que le serveur accepte le GSSAPI.

Une requete LDAP permet d’apporter la réponse (remplacer localhost par l’ip ou le nom de domaine de votre serveur) :

import javax.naming.*;
import javax.naming.directory.*;

import java.util.Hashtable;

/**
 * Demonstrates how to discover a server's supported SASL mechanisms.
 *
 * usage: java ServerSasl
 */
class ServerSasl {
    public static void main(String[] args) {

	try {
	    // Create initial context
	    DirContext ctx = new InitialDirContext();

	    // Read supportedSASLMechanisms from root DSE
	    Attributes attrs = ctx.getAttributes(
		"ldap://localhost:389", new String[]{"supportedSASLMechanisms"});

	    System.out.println(attrs);

	    // Close the context when we're done
	    ctx.close();
	} catch (NamingException e) {
	    e.printStackTrace();
	}
    }
}

Le serveur devrait répondre quelque chose dans ce gout la :

{supportedsaslmechanisms=supportedSASLMechanisms: GSSAPI, GSS-SPNEGO, EXTERNAL, DIGEST-MD5}

Le support du Kerberos (GSSAPI) est donc confirmé.

2 / Configuration client kerberos

A présent, il faut configurer le poste client pour discuter avec le serveur Kerberos. Pour cela il faut créer le fichier de configuration de kerberos : krb5.ini. Sans ce fichier aucune transaction kerberos en LDAP ne peut être faite.

Créer le fichier dans la racine de Windows.

Exemple c:\WINNT\kerb5.ini

Il doit contenir au minimum ces informations : (remplacer « exemple » par vos informations)

[libdefaults]
default_realm = EXEMPLE.LAN
default_checksum = rsa-md5

[realms]
EXEMPLE.LAN = {
kdc = SRV01.EXEMPLE.LAN
}

[domain_realm]
.EXEMPLE.LAN = EXEMPLE.LAN

3 / Test d’authentification

Maintenant que le fichier de configuration est créé, il faut le tester. Si vous avez correctement configuré le PATH de votre poste client vous devez avoir accés aux commande kinit et klist si ce n’est pas le cas, ces binaires ce trouve dans le répertoire d’installation du JDK ou vous pouvez configurer votre path une bonne fois pour toute en suivant ce tuto.

Il faut dans un premier temps initialiser la connexion avec kinit.
Dans l’interpreteur de commande windows rentrer kinit :

C:\Documents and Settings\artiflo>kinit

Le mot de passe pour l’utilisateur courant est demandé :

Password for artiflo@EXEMPLE.LAN:

Si tout c’est bien passé un message d’indication est renvoyé :

New ticket is stored in cache file C:\Documents and Settings\artiflo\krb5cc_artiflo

On peut vérifier a présent que le ticket est bien arrivé en utilisant klist :

C:\Documents and Settings\artiflo>klist

Ce qui devrait donner ceci :

Credentials cache: C:\Documents and Settings\artiflo\krb5cc_artiflo

Default principal:artiflo@EXEMPLE.LAN, 1 entry found.

[1] Service Principal: krbtgt/EXEMPLE.LAN@EXEMPLE.LAN
Valid starting: Aug 11, 2009 14:49
Expires: Aug 12, 2009 00:49

Tout c’est bien passer on peut retourner sur eclipse.

4 / L’Autentification

A présent je vais réutiliser les exemples fournis par java. Pour cela j’ai besoin de ces 3 fichiers.

1 / Le fichier de configuration : gsseg_jaas.conf

GssExample { com.sun.security.auth.module.Krb5LoginModule required client=TRUE;};

2 / Le dialogue : SampleCallbackHandler.java

import javax.security.auth.callback.*;
import java.io.IOException;
import java.io.BufferedReader;
import java.io.InputStreamReader;

/**
 * Demonstrates how to write a callback handler for use with SASL.
 * Used with UseCallback.java, GssExample.java, and Mutual.java.
 *
 * Standalone test: java SampleCallbackHandler
 */
public class SampleCallbackHandler implements CallbackHandler {
    public void handle(Callback[] callbacks)
	throws java.io.IOException, UnsupportedCallbackException {
	    for (int i = 0; i < callbacks.length; i++) {
		if (callbacks[i] instanceof NameCallback) {
		    NameCallback cb = (NameCallback)callbacks[i];
		    cb.setName(getInput(cb.getPrompt()));

		} else if (callbacks[i] instanceof PasswordCallback) {
		    PasswordCallback cb = (PasswordCallback)callbacks[i];

		    String pw = getInput(cb.getPrompt());
		    char[] passwd = new char[pw.length()];
		    pw.getChars(0, passwd.length, passwd, 0);

		    cb.setPassword(passwd);
		} else {
		    throw new UnsupportedCallbackException(callbacks[i]);
		}
	    }
    }

    /**
     * A reader from Standard Input. In real world apps, this would
     * typically be a TextComponent or similar widget.
     */
    private String getInput(String prompt) throws IOException {
	System.out.print(prompt);
	BufferedReader in = new BufferedReader(
	    new InputStreamReader(System.in));
	return in.readLine();
    }

    public static void main(String[] args) throws IOException,
    UnsupportedCallbackException {

	// Test handler

	CallbackHandler ch = new SampleCallbackHandler();
	Callback[] callbacks = new Callback[]{
	    new NameCallback("user id:"),
		new PasswordCallback("password:", true)};

	ch.handle(callbacks);
    }
}

3 / La création du context JNDI : GssExample.java

import javax.naming.*;
import javax.naming.directory.*;
import javax.security.auth.login.*;
import javax.security.auth.Subject;

import java.util.Hashtable;

/**
 * Demonstrates how to create an initial context to an LDAP server
 * using "GSSAPI" SASL authentication (Kerberos v5).
 * Requires J2SE 1.4, or JNDI 1.2 with ldapbp.jar, JAAS, JCE, an RFC 2853
 * compliant implementation of J-GSS and a Kerberos v5 implementation.
 * Uses SampleCallbackHandler.
 *
 * usage: java
 *    -Djava.security.auth.login.config=gssapi_jaas.conf \
 *    -Djava.security.krb5.conf=krb5.conf \
 *      GssExample [qop [dn]]
 *
 * The first property indicates which JAAS login module the application needs
 * to use; the second property is for configuration of the Kerberos subsystem.
 *
 * 'qop' is a comma separated list of tokens, each of which is one of
 * auth, auth-int, or auth-conf. If none is supplied, the default is 'auth'.
 */
class GssExample {

    public static void main(String[] args) {

	// 1. Log in (to Kerberos)
	LoginContext lc = null;
	try {
	    lc = new LoginContext(GssExample.class.getName(),
		new SampleCallbackHandler());

	    // Attempt authentication
	    // You might want to do this in a "for" loop to give
	    // user more than one chance to enter correct username/password
	    lc.login();

	} catch (LoginException le) {
	    System.err.println("Authentication attempt failed" + le);
	    System.exit(-1);
	}

	// 2. Perform JNDI work as logged in subject
	Subject.doAs(lc.getSubject(), new JndiAction(args));
    }
}

/**
 * The application must supply a PrivilegedAction that is to be run
 * inside a Subject.doAs() or Subject.doAsPrivileged().
 */
class JndiAction implements java.security.PrivilegedAction {
    private String[] args;

    public JndiAction(String[] origArgs) {
	this.args = (String[])origArgs.clone();
    }

    public Object run() {
	performJndiOperation(args);
	return null;
    }

    private static void performJndiOperation(String[] args) {
	String dn;

	// Set up environment for creating initial context
	Hashtable env = new Hashtable(11);

	env.put(Context.INITIAL_CONTEXT_FACTORY,
	    "com.sun.jndi.ldap.LdapCtxFactory");

	// Must use fully qualified hostname
	env.put(Context.PROVIDER_URL,
	    "ldap://SRV01.EXEMPLE.LAN:389");

	// Request the use of the "GSSAPI" SASL mechanism
	// Authenticate by using already established Kerberos credentials
	env.put(Context.SECURITY_AUTHENTICATION, "GSSAPI");

	// Optional first argument is comma-separated list of auth, auth-int,
	// auth-conf
	if (args.length > 0) {
	    env.put("javax.security.sasl.qop", args[0]);
	    dn = args[1];
	} else {
	    dn = "";
	}

	try {
	    /* Create initial context */
	    DirContext ctx = new InitialDirContext(env);

	    System.out.println(ctx.getAttributes(dn));

	    // do something useful with ctx

	    // Close the context when we're done
	    ctx.close();
	} catch (NamingException e) {
	    e.printStackTrace();
	}
    }
}

Avec eclipse il ne reste plus qu’a rajouter quelques argument dans VM arguments avant la compilation :

-Djava.security.auth.login.config=C:\Workbench\GSS\src\GSS1\gsseg_jaas.conf
-Djava.security.krb5.conf=C:\WINNT\krb5.ini

Compiler. Indiquez votre nom d’utilisateur, puis votre mot de passe. Fini.

Par défaut la requête renverra tous les arguments. Mais vous pouvez par la suite créer ce que vous voulez comme requete, comme par exemple une requete qui cherche à renvoyer tous les groupes d’un USER :

// Create the default search controls
SearchControls ctls = new SearchControls();
String filter = "(&(member=CN=Arti flo,OU=ou_DLW_USER,OU=ou_DLW,DC=EXEMPLE,DC=LAN)(objectclass=group)))";

// Search for objects using the filter
NamingEnumeration answers = ctx.search("OU=ou_DLW_USER,OU=ou_DLW,DC=EXEMPLE,DC=LAN",filter, ctls);
while (answers.hasMore()) {
       SearchResult answer = answers.nextElement();
       System.out.println("> " + answer.getNameInNamespace());
}

Je dédicace mon premier billet java à mon bon lolo

Installation d’un serveur Ubuntu 9.04 64bits virtualisé via VirtualBox pour le développement d’applications Java / Flex.

Loïc Bisière — Thu, 23 Jul 2009 20:00:15 +0000

Bonjour à tous,

pré-requis pour lire cette documentation :

Aimer Java / Flex
Aimer coder
Détester les admins sys

Introduction

Cette documentation a pour objectif de reprendre pas à pas l’installation d’un serveur Ubuntu 9.04 64bits. Nous qualifierons ce serveur de pre-prod car son but est de supporter la mise en béta test de nos applications. De plus ce serveur sera vitualisé via VirtualBox.

Le tutorial débute après l’installation de Ubuntu Server 9.04 64bits. Lors de cette installation aucun service n’a été pré-installé.

Installer les pré-requis

1. Installer les paquets ssh

sudo apt-get install openssh-server

Dès la fin de cette étape nous vous invitons à utiliser un client ssh tel que Putty.

2. Installer les paquet unzip

sudo apt-get install unzip

Installer les virtualbox additions sur Ubuntu Server 9.04

1. Installer les paquets

sudo apt-get install build-essential linux-headers-`uname -r`

2. Monter le fichier image des vboxadditions

3. Monter le CD-ROM

sudo mount /dev/cdrom /media/cdrom

4. Exécuter l’installation

cd /media/cdrom
sudo ./VBoxLinuxAdditions-amd64.run

Installer Apache 2

1. Installer les paquets

sudo apt-get install apache2

Installer MySQL Server

1. Installer les paquets

sudo apt-get install mysql-server

Installer Php 5

1. Installer les paquets

sudo apt-get install php5 libapache2-mod-php5 php5-mysql

2. Configurer Apache

sudo nano /etc/apache2/apache2.conf

Après la ligne :

DefaultType text/plain

Ajouter les lignes suivantes :

AddType application/x-httpd-php .php
AddType application/x-httpd-php-source .phps

3. Tester

Créer le fichier phpinfo.php :

sudo nano /var/www/phpinfo.php

phpinfo();
?>

Relancer Apache :

sudo /etc/init.d/apache2 reload

Rendez-vous à :

http://ip.du.server/phpinfo.php

Installer PhpMyAdmin

1. Installer les paquets

sudo apt-get install phpmyadmin

2. Tester

http://ip.du.server/phpmyadmin

Installer le serveur SVN et son module Apache

1. Installer les paquets

sudo apt-get install subversion

2. Créer le répertoire des repository

sudo mkdir /var/svn

3. Installer les paquets

sudo apt-get install libapache2-svn

4. Configuration

sudo nano /etc/apache2/mods-available/dav_svn.conf

Remplacer la config par :

DAV svn
SVNParentPath /var/svn
SVNListParentPath On

Redémarrer Apache :

sudo /etc/init.d/apache2 restart

Vérifier la conf en vous rendant à l’adresse :

http://ip.du.server/svn/

5. Sécurité

sudo nano /etc/apache2/mods-available/dav_svn.conf

Remplacer la config par :

DAV svn
SVNParentPath /var/svn
SVNListParentPath On
AuthType Basic
AuthName « Depot Subversion »
AuthUserFile /etc/apache2/dav_svn.passwd
Require valid-user

Création du fichier htpasswd :

sudo htpasswd -cs /etc/apache2/dav_svn.passwd utilisateur

Pour créer d’autres utilisateurs :

sudo htpasswd -s /etc/apache2/dav_svn.passwd utilisateur

Faire appartenir ce fichier à l’utilisateur Apache :

sudo chown www-data:www-data /etc/apache2/dav_svn.passwd

Redémarrer Apache :

sudo /etc/init.d/apache2 restart

6. Comment créer un projet

sudo svnadmin create /var/svn/projet
sudo chown -R www-data:www-data /var/svn/projet

7. Comment supprimer un projet

sudo rm -r /var/svn/projet/

Installer JAVA

1. Installation

Installer le dernier JDK :

sudo apt-get install sun-java6-jdk

2. Configuration

Editer le fichier profile de /etc :

sudo nano /etc/profile

Rajouter au début du fichier ces lignes :

export JAVA_HOME=/usr/lib/jvm/java-6-sun
export PATH=$PATH:$JAVA_HOME/bin

Tester, vous devez tout d’abord relancer votre terminal :

echo $JAVA_HOME
echo $PATH

Installer le serveur GlassFish

1. Préparatifs

Créer l’utilisateur GlassFish :

sudo adduser –system glassfish

Télécharger la dernière version de GlassFish (link) dans un répertoire dont l’utilisateur glassfish a les droits :

cd /home/glassfish
sudo wget lien.de.telechargement

2. Installation

Exécuter l’installation via le nouveau user créé :

sudo -u glassfish java -Xmx256M -jar nom.du.fichier.jar

Déplacer le répertoire d’installation :

sudo mv glassfish /opt

Changer les règles pour accéder au répertoire sans le root :

sudo chgrp -R admin /opt/glassfish/

Exécuter le script d’installation :

cd /opt/glassfish/
sudo chmod -R +x lib/ant/bin/
sudo -u glassfish lib/ant/bin/ant -f setup.xml

Après le « Build Successful », on test :

sudo -u glassfish bin/asadmin start-domain domain1
http://ip.du.server:4848 (admin | adminadmin)

3. Auto Start

Créer le fichier :

sudo nano /etc/init.d/glassfish

Son contenu :

#! /bin/sh

GLASSFISHPATH=/opt/glassfish/bin

case « $1″ in
start)
echo « starting glassfish from $GLASSFISHPATH »
sudo -u glassfish $GLASSFISHPATH/asadmin start-domain domain1
;;
restart)
$0 stop
$0 start
;;
stop)
echo « stopping glassfish from $GLASSFISHPATH »
sudo -u glassfish $GLASSFISHPATH/asadmin stop-domain domain1
;;
*)
echo $”usage: $0 {start|stop|restart}”
exit 3
;;
esac
:

Rendre le script exécutable :

sudo chmod a+x /etc/init.d/glassfish

Tester en arrêtant le serveur précédemment lancé, puis relancer le :

sudo /etc/init.d/glassfish stop
sudo /etc/init.d/glassfish start

Mise en place du start/stop automatique de glassfish :

sudo update-rc.d glassfish defaults 90 10

4. Installation des drivers JDBC MySQL

Installer le package :

sudo apt-get install libmysql-java

Création du lien symbolique dans le répertoire lib de GlassFish :

sudo -u glassfish ln -s /usr/share/java/mysql-connector-java.jar /opt/glassfish/lib/

Installer le serveur Flex BlazeDS

1. Préparatifs

Télécharger la dernière version de BlazeDS (link) :

sudo wget lien.de.telechargement

2. Installation

Extraire les fichiers en tant qu’utilisateur blazeds dans un répertoire blazeds :

unzip nom.du.fichier.zip -d blazeds

Déplacer le répertoire d’installation :

sudo mv blazeds /opt

Changer les règles pour accéder au répertoire sans le root :

sudo chgrp -R admin /opt/blazeds/

Test :

/opt/blazeds/tomcat/bin/./startup.sh

http://ip.du.server:8400

3. Auto Start

Créer le fichier :

sudo nano /etc/init.d/blazeds

Son contenu :

#! /bin/sh

export JAVA_HOME=/usr/lib/jvm/java-6-sun

BLAZEDS=/opt/blazeds/tomcat/bin

case « $1″ in
start)
echo « starting Tomcat BlazeDS from $BLAZEDS »
$BLAZEDS/./startup.sh
;;
restart)
$0 stop
$0 start
;;
stop)
echo « stopingTomcat BlazeDS from $BLAZEDS »
$BLAZEDS/./shutdown.sh
;;
*)
echo $”usage: $0 {start|stop|restart}”
exit 3
;;
esac
:

Rendre le script exécutable :

sudo chmod a+x /etc/init.d/blazeds

Tester en arrêtant le serveur précédemment lancé, puis relancer le :

sudo /etc/init.d/blazeds stop
sudo /etc/init.d/blazeds start

Mise en place du démarrage automatique de tomcat blazeDS :

sudo update-rc.d blazeds defaults 91 9

Migrer le serveur SVN

1. Dump de l’ancien serveur SVN

sudo svnadmin dump /chemin/vers/refrenciel > /chemin/vers/fichier

exemple dans ma configuration, créer tout d’abord un répertoire dans votre home pour regrouper tous vos dump :

mkdire dumpSVN

Puis, dumper vos projets :

sudo svnadmin dump /var/svn/projet1 > ~/dumpSVN/projet1
sudo svnadmin dump /var/svn/projet2 > ~/dumpSVN/projet2

Puis créer un zip de votre dossier dumpSVN et récupérer le dans votre home du nouveau serveur.

2. Préparation du nouveau serveur SVN

Vous devez recréer vos projets :

sudo svnadmin create /var/svn/projet
sudo chown -R www-data:www-data /var/svn/projet

exemple dans ma configuration :

sudo svnadmin create /var/svn/projet1
sudo svnadmin create /var/svn/projet2
sudo chown -R www-data:www-data /var/svn/projet1
sudo chown -R www-data:www-data /var/svn/projet2

3. Load dans le nouveau serveur SVN

sudo svnadmin load /chemin/vers/referentiel < /chemin/vers/fichier

exemple dans ma configuration, après avoir récupérer l’archive dumpSVN :

unzip dumpSVN.zip
sudo svnadmin load /var/svn/projet1 < ~/dumpSVN/projet1
sudo svnadmin load /var/svn/projet2 < ~/dumpSVN/projet2