Para realizar la autenticación HTTP SPNEGO del lado del cliente con Java en Windows, debe configurar la clave de registro de Windowsallowtgtsessionkey. Esto está bien documentado. Lo que no entiendo es cómo la gente se las arregla para esto? La mayoría de los sitios corporativos nunca aceptarían cambiar esta clave de registro en Windows por una sola pieza de software. También piense en la molestia si esto necesita cambiarse en cada estación de trabajo de la organización. Pero eso es solo una teoría porque hasta ahora no he podido convencer a ninguno de nuestros clientes de cambiar esta clave de registro.

No los culpo. La mayoría de los administradores corporativos verían esto unrelajante La seguridad y por lo tanto se opondrá.

He leído esto:¿Hay alguna forma en Java o en una línea de comandos para obtener un ticket de Kerberos para un servicio utilizando la API SSPI nativa?

pero ahora es bastante viejo.

Así que realmente no entiendo cómo las personas pueden hacer que Windows + Java client + Kerberos funcione en cualquier cosa que no sea en entornos universitarios, usuarios domésticos y similares.

La pregunta que recibo de los administradores corporativos es "¿por qué necesitamos configurar esta clave de registro cuando las aplicaciones como IE y Firefox no tienen problemas al hacer SPNEGO?"sin ¿Estableciendo esta clave? ". Bueno, sé cuál es la respuesta. Es porque (lo más probable) las aplicaciones como IE y Firefox se basan en la API GSS (SSPI) nativa de Windows, mientras que Java de Sun usa su propia implementación.

Estoy asumiendo que usando algo comoGOFRE Resolvería el problema pero preferiría una solución Java pura. También asumo que no ayudará usar soluciones basadas en Java como Spring Security o Apache HttpClient, ya que todas ellas estarán sufriendo este problema.

Cualquier ayuda o sugerencias serán bienvenidos.

ACTUALIZACIÓN1:

He encontrado que hay unaRFE para esto en la base de datos de errores de Oracle. También hay unparche enviado al respecto por un empleado de Oracle ydiscusiones en la lista de correo JDK sobre esta característica. No me hace mucho más sabio, aparte de lo que puedo entender, esto no está disponible en Java 7 actual, ni siquiera como experimental. ¿Derecha?

Actualización2:

La pregunta es ahora.vivo de nuevo en la lista de correo de OpenJDK Security Dev.