Auch Java-Web-Anwendungen wollen in die Windows-Landschaft integriert werden. Das kann man etwa über Tomcat und IIS regeln (-> hier).

Man kann aber auch dem Apache Tomcat Kerberos beibringen (nicht nur Tomcat, auch JBoss oder Glassfish). Hier wird der Dialog zwischen dem “Kerberos Domain Controller” (KDC) und der Servlet-Engine über ein sogenanntes  Java Servlet Filter (JSR-53) realisiert. Das zugehörige Open Source Projekt heißt SPNEGO ( S imple and  P rotected GSSAPI  Nego tiation Mechanism).

Die Beschreibung ist genau und beinhaltet einen Test für die Kommunikation mit dem KDC. Hier in sehr verkürzter Version:

  • Konfiguration vorbereiten / KDC-Test durchführen (Pre-flight checklist)
  • Jar einspielen
  • web.xml modifizieren, gemäß Beschreibung
  • Servlet Engine durchstarten

Wir setzen SPNEGO erfolgreich als Integrated Windows Authentication z.B. für Confluence WIKI mit Apache Tomcat ein.