SPRING SECURITY KERBEROS/SPNEGO EXTENSION

KERBEROS/SPNEGO是spring-security项目的扩展，同时也是实现Windows Active Directory认证的一种方式，其流程和配置可参考http://lengyun3566.iteye.com/blog/1404943，这篇文章讲的比较详细。在开发过程中通过ktpass映射用户名这步有2种方式(我只知道2种)：

1、ktpass -princ HTTP/项目部署所在的机器名@域名 -mapuser test\admin -out kerberos.keytab

2、ktpass /out kerberos.keytab /mapuser admin@test.org /princ HTTP/ 项目部署所在的机器名@TEST.ORG  /pass password

其中用户名最好以HTTP/开头，这也是官方网站建议的方式。值得注意的是：项目所在的机器C:\Documents and Settings\Administrator\WINDOWS下需要有个名称为krb5.ini的文件，文件内容为：

[libdefaults]

        default_realm = 以域名为例

default_tkt_enctypes = aes128-cts rc4-hmac des3-cbc-sha1 des-cbc-md5 des-cbc-crc

default_tgs_enctypes = aes128-cts rc4-hmac des3-cbc-sha1 des-cbc-md5 des-cbc-crc

permitted_enctypes   = aes128-cts rc4-hmac des3-cbc-sha1 des-cbc-md5 des-cbc-crc

[realms]

  default_realm的值 = {

                kdc = 项目所在的机器名

default_domain = 域名

        }

[domain_realm]

. default_realm的值  = default_domain的值

主要是为了加解密windows密码。

用户通过浏览器发送请求时，若后台打印出如下信息：

WARNING: Negotiate Header was invalid: Negotiate TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbAdAAAADw==
org.springframework.security.authentication.BadCredentialsException: Kerberos validation not succesfull

则表明系统采用的认证方式是windows默认的NTLM协议，此时应将请求的地址应写成项目所在的机器名，否则测试很可能不成功。