SPNEGOをクライアントに使用できない場合、どのようにBASIC認証またはFORM認証にフォールバックできますか？

Question

最終的に、JBoss AS 7サーバーが、Windows 2008 R2に対してADドメイン上でSPNEGOを使用するように構成しました。私はJava 7を使用しています。

ユーザーがドメインのコンピュータ以外の場所（たとえば、携帯電話やより広いインターネット）からサーバーのURLにアクセスすると、ユーザー名とパスワードの入力を求められますエラー：

Login failure: javax.security.auth.login.LoginException: Unsupported negotiation mechanism 'NTLM' 

ドメインにログインしたときにユーザーがアクセスすると、すべてOKです。 SPNEGOセキュリティ・ドメインで

（standalone.xml）私は2ログイン・モジュールを構成し：

まず：org.jboss.security.negotiation.spnego.SPNEGOLoginModule

第二：

<login-module code="org.jboss.security.auth.spi.UsersRolesLoginModule" flag="required"> 
    <module-option name="password-stacking" value="useFirstPass"/> 
    <module-option name="usersProperties" value="file:${jboss.server.config.dir}/spnego-users.properties"/> 
    <module-option name="rolesProperties" value="file:${jboss.server.config.dir}/spnego-roles.properties"/> 
    <module-option name="defaultUsersProperties" value="file:${jboss.server.config.dir}/spnego-users.properties"/> 
    <module-option name="defaultRolesProperties" value="file:${jboss.server.config.dir}/spnego-roles.properties"/> 
</login-module> 

質問です：どのように私はBASICにフォールバックすることができますSPNEGOが範囲外の場合はFORMとなりますか？

おかげ

全例外は次のとおりです。

00:40:23,751 ERROR [org.jboss.security.authentication.JBossCachedAuthenticationManager] (http--0.0.0.0-9090-8) Login failure: javax.security.auth.login.LoginException: Unsupported negotiation mechanism 'NTLM'. 
     at org.jboss.security.negotiation.spnego.SPNEGOLoginModule.spnegoLogin(SPNEGOLoginModule.java:230) [jboss-negotiation-spnego-2.2.0.SP1.jar:2.2.0.SP1] 
     at org.jboss.security.negotiation.spnego.SPNEGOLoginModule.innerLogin(SPNEGOLoginModule.java:194) [jboss-negotiation-spnego-2.2.0.SP1.jar:2.2.0.SP1] 
     at org.jboss.security.negotiation.spnego.SPNEGOLoginModule.login(SPNEGOLoginModule.java:137) [jboss-negotiation-spnego-2.2.0.SP1.jar:2.2.0.SP1] 
     at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method) [rt.jar:1.7.0_05] 
     at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:57) [rt.jar:1.7.0_05] 
     at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43) [rt.jar:1.7.0_05] 
     at java.lang.reflect.Method.invoke(Method.java:601) [rt.jar:1.7.0_05] 
     at javax.security.auth.login.LoginContext.invoke(LoginContext.java:784) [rt.jar:1.7.0_05] 
     at javax.security.auth.login.LoginContext.access$000(LoginContext.java:203) [rt.jar:1.7.0_05] 
     at javax.security.auth.login.LoginContext$4.run(LoginContext.java:698) [rt.jar:1.7.0_05] 
     at javax.security.auth.login.LoginContext$4.run(LoginContext.java:696) [rt.jar:1.7.0_05] 
     at java.security.AccessController.doPrivileged(Native Method) [rt.jar:1.7.0_05] 
     at javax.security.auth.login.LoginContext.invokePriv(LoginContext.java:695) [rt.jar:1.7.0_05] 
     at javax.security.auth.login.LoginContext.login(LoginContext.java:594) [rt.jar:1.7.0_05] 
     at org.jboss.security.authentication.JBossCachedAuthenticationManager.defaultLogin(JBossCachedAuthenticationManager.java:449) [picketbox-infinispan-4.0.7.Final.jar:4.0.7.Final] 
     at org.jboss.security.authentication.JBossCachedAuthenticationManager.proceedWithJaasLogin(JBossCachedAuthenticationManager.java:383) [picketbox-infinispan-4.0.7.Final.jar:4.0.7.Final] 
     at org.jboss.security.authentication.JBossCachedAuthenticationManager.authenticate(JBossCachedAuthenticationManager.java:371) [picketbox-infinispan-4.0.7.Final.jar:4.0.7.Final] 
     at org.jboss.security.authentication.JBossCachedAuthenticationManager.isValid(JBossCachedAuthenticationManager.java:160) [picketbox-infinispan-4.0.7.Final.jar:4.0.7.Final] 
     at org.jboss.as.web.security.JBossWebRealm.authenticate(JBossWebRealm.java:214) [jboss-as-web-7.1.1.Final.jar:7.1.1.Final] 
     at org.jboss.security.negotiation.NegotiationAuthenticator.authenticate(NegotiationAuthenticator.java:187) [jboss-negotiation-common-2.2.0.SP1.jar:2.2.0.SP1] 
     at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:455) [jbossweb-7.0.13.Final.jar:] 
     at org.jboss.as.web.security.SecurityContextAssociationValve.invoke(SecurityContextAssociationValve.java:153) [jboss-as-web-7.1.1.Final.jar:7.1.1.Final] 
     at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:155) [jbossweb-7.0.13.Final.jar:] 
     at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:102) [jbossweb-7.0.13.Final.jar:] 
     at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:109) [jbossweb-7.0.13.Final.jar:] 
     at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:368) [jbossweb-7.0.13.Final.jar:] 
     at org.apache.coyote.http11.Http11Processor.process(Http11Processor.java:877) [jbossweb-7.0.13.Final.jar:] 
     at org.apache.coyote.http11.Http11Protocol$Http11ConnectionHandler.process(Http11Protocol.java:671) [jbossweb-7.0.13.Final.jar:] 
     at org.apache.tomcat.util.net.JIoEndpoint$Worker.run(JIoEndpoint.java:930) [jbossweb-7.0.13.Final.jar:] 
     at java.lang.Thread.run(Thread.java:722) [rt.jar:1.7.0_05] 

Answer 1

を正直なところ、私はSPNEGO拡張子を持つ春のセキュリティを使用して、あなたをお勧めします。 http://blog.springsource.org/2009/09/28/spring-security-kerberos/

これ以降、認証プロバイダを追加することができます。取ら

引用：あなたが望むよう がMultiple Authentication Providers in Spring Security

あなたはできるだけ多くのプロバイダを指定することができます。それらは、あなたがauthentication-managerタグ内で宣言したのと同じ順序でチェックされます。 成功した認証が行われると、プロバイダのポーリングが停止します。プロバイダがAccountStatusExceptionをスローすると、ポーリングも中断されます。

このようにして、特定のアプリケーションサーバーの構成に依存することはありません。

Answer 2

あなたは基本的にフォールバックするWEB-INF/web.xmlファイルを変更する必要があります：

<context-param> 
    <description>BASIC Authentication FallBack</description> 
    <param-name>org.jboss.security.negotiation.NegotiationAuthenticator.BasicAuthFallBack</param-name> 
    <param-value>true</param-value> 
</context-param> 

詳細はこちらをご覧ください：

https://issues.jboss.org/browse/SECURITY-793

を