c# - 为 SSO 获取 Kerberos 令牌

问题描述

我正在尝试为登录到 Windows 的当前用户获取 Kerberos 令牌，以向接受 Kerberos 身份验证的 REST 服务发出请求。

我正在使用基于此问题的解决方案的以下 C 代码： How to get Service Token from Kerberos using SSPI

变量 domain 和 foundUser 似乎设置正确。但是网络凭据是空的。这会导致调用 k1.GetToken() 引发错误 System.IdentityModel.Tokens.SecurityTokenValidationException。

如何为用户获取 Kerberos 令牌？

    public String getToken(string userName)
    {
        AppDomain.CurrentDomain.SetPrincipalPolicy(PrincipalPolicy.WindowsPrincipal);
        var domain = System.DirectoryServices.ActiveDirectory.Domain.GetCurrentDomain().ToString();
        using (var domainContext = new PrincipalContext(ContextType.Domain, domain))
        {
            using (var foundUser = UserPrincipal.FindByIdentity(domainContext, IdentityType.SamAccountName, userName))
            {
                NetworkCredential networkCred = System.Net.CredentialCache.DefaultNetworkCredentials;
                string spn = UserPrincipal.FindByIdentity(domainContext, IdentityType.SamAccountName, userName).UserPrincipalName;
                KerberosSecurityTokenProvider k1 = new KerberosSecurityTokenProvider(spn, System.Security.Principal.TokenImpersonationLevel.Impersonation, networkCred);
                KerberosRequestorSecurityToken T1 = k1.GetToken(TimeSpan.FromMinutes(1)) as KerberosRequestorSecurityToken;
                string sret = Convert.ToBase64String(T1.GetRequest());
                return sret;
            }
        }

    }

标签： c#single-sign-ontokenkerberos

以下行不正确：

KerberosSecurityTokenProvider k1 = new KerberosSecurityTokenProvider(spn, System.Security.Principal.TokenImpersonationLevel.Impersonation, networkCred);

您要告诉它为当前用户获取 Kerberos 票证，该用户的目标是具有 SPN 名称的服务，而 SPN 恰好是当前用户的名称。

SPN 参数的要点是指定您想要票证的服务的名称。Kerberos 不会让您只获得一张可以在任何地方使用的票。您必须为特定服务申请票证。

SPN 采用service/host.com@optional.realm.com. 由于它是一个 REST 服务，它很可能是HTTP/your.service.com.

请记住，SPN 必须注册到 Active Directory 中的服务主体，否则客户端将无法查找服务。

c# - 为 SSO 获取 Kerberos 令牌

问题描述

解决方案

推荐阅读