# Authentication Problem bei WebServices



## AlexSpritze (22. Apr 2010)

Hallo,

ich benutze die Exchange WebServices gegen einen Server in der selben Domäne und habe das Problem, dass ich mich über einen anderen Account dort anmelden müsste, aber Java (oder was auch immer) automatisch meinen Account nimmt. Das heißt, z.B., ich kann mir damit meine eigenen Mails vom Exchange Server holen, aber nicht die von dem anderen Account, obwohl ich eigentlich explizit dessen Credentials per Authenticator.setDefault() angebe:


```
Authenticator.setDefault(
  new MyAuthenticator(username, pwd)
);
```

Egal was ich mache, das Programm „klaut“ scheint immer automatisch meine Credentials zu klauen. Hat jemand eine Ahnung, was ich da machen kann? Wenn ich einen ExchangeServer benutze, der nicht in der gleichen Domäne liegt, muss ich ja die Anmeldeinformationen explizit angeben. Nur, in dem obigen Fall kann ich sogar jeweils null als Benutzername und Passwort angeben und er ignoriert es einfach.

Interessant ist auch, dass Firefox und Internet Explorer mich auch nicht automatisch anmelden, wenn ich mir die WSDL-Datei auf dem Server angucken will. Wieso macht das Java!?

Vielen Dank schonmal für irgendwelche Tipps.


----------



## AlexSpritze (23. Apr 2010)

Okay, mal andersrum gefragt:

Ich baue per HTTPS eine Verbindung zu einem Server auf. Ich akzeptiere per Default alle SSL-Zertifikate (=DummyTrustManager). Und nun möchte ich mich explizit an diesen Server per Username/Password anmelden, aber da der Server in der selben Domain liegt, werde ich automatisch mit meinen aktuellen Benutzeraccount dort angemeldet.

Wie kann ich mich dabei explizit anmelden?

Sowas hier scheint gar nicht zu funktionieren:


```
Authenticator.setDefault(new Authenticator() {

      @Override
      protected PasswordAuthentication getPasswordAuthentication() {
        return new PasswordAuthentication("benutzer", "seinPassword".toCharArray());
      }
    });
```


----------



## AlexSpritze (23. Apr 2010)

Und nochmal anders gefragt 

Wenn ich im Browser die URL https://server.domain.local/EWS/Exchange.asmx aufrufen will, sagt der Browser mir, dass er dem SSL-Zertifikat nicht vertraut. Das kann ich aber per Hand akzeptieren. Dann will er aber von mir für die weitere Verbindung Benutzername und Password wissen. Und dann komme ich zum Seiteninhalt.

Wenn ich das ganze nun in Java nachstelle:

1. Versuch


```
URL url = new URL("https://server.domain.local/ews/Services.wsdl");
    url.openConnection().connect();
```

Geht nicht, da gibt es eine Exception:

```
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
```

2. Versuch

Ich habe eine Methode geschrieben, die die SSL-Zertifikate generell akzeptiert. Diese wird aufgerufen, bevor die Verbindunghergestellt wird.


```
private static void trustAllHttpsCertificates() throws Exception {

      //  Create a trust manager that does not validate certificate chains:
      javax.net.ssl.TrustManager[] trustAllCerts = new javax.net.ssl.TrustManager[1];
      javax.net.ssl.TrustManager tm = new MyTrustManager();
      trustAllCerts[0] = tm;
      javax.net.ssl.SSLContext sc = javax.net.ssl.SSLContext.getInstance("SSL");

      sc.init(null, trustAllCerts, null);

      javax.net.ssl.HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
    }
```

Dabei ist MyTrustManager:


```
private static class miTM implements javax.net.ssl.TrustManager, javax.net.ssl.X509TrustManager {

    @Override
    public java.security.cert.X509Certificate[] getAcceptedIssuers() {
      return null;
    }

    public boolean isServerTrusted( java.security.cert.X509Certificate[] certs ) {
      return true;
    }

    public boolean isClientTrusted( java.security.cert.X509Certificate[] certs ) {
      return true;
    }

    @Override
    public void checkServerTrusted( java.security.cert.X509Certificate[] certs, String authType )
            throws java.security.cert.CertificateException {
      return;
    }

    @Override
    public void checkClientTrusted( java.security.cert.X509Certificate[] certs, String authType ) throws java.security.cert.CertificateException {
      return;
    }
  }
}
```

Also das einfachste was geht. Damit kann ich die oben angegeben SSL-Url aufrufen und es kommt keine Exception. Das einzige was aus meiner Sicht fehlt, ist die Eingabe oder Festlegung der Zugriffsdaten, ähnlich wie ich es oben für einen Internet-Browser beschrieben habe. Wie soll das gehen? Ich vermute, dass in diesem Fall die Anmeldedaten meiner aktuellen Windowssitzung genommen werden, weil der Server sich in derselben Domain befindet.

Wie kann ich mich explizit am Server (per Basic Authentication) anmelden? Ich komme echt nicht weiter. Danke schonmal für irgendwelche Tipps! Oder Denkanstöße. Irgendwas


----------



## FArt (23. Apr 2010)

Ich habe das Szenario nicht ganz verstanden, was auch daran liegt, dass ich die Exchange WebServices nicht kenne.

Single SignOn (das passiert ja anscheinend) muss von dem Webservice unterstützt werden (der muss Kerberos Authentifizierung unterstützen, ob NTLM auch funktioniert, weiß ich nicht) und vom Client.
Ein Browser als Client kann das (wenn er richtig konfiguriert ist). Ein Java Client kann das auch (allerdings mit etwas Aufwand).
Meine Erfahrung: Firefox und IE machen silent single sign on mit dem angemeldeten Domänenuser. Opera hat grundsätzlich nachgefragt, mit der Option andere Benutzer angeben zu können (ein Feature? na ja...). Ob ich mit einem Java-Client andere Credentials einfach verwenden kann, weiß ich nicht.
Auf jeden Fall laufen die Zertifikate außer Konkurrenz.. die haben mit der Anmeldung nichts zu tun.

Vielleicht bringt dich diese Erfahrung einer Lösung ein wenig weiter.


----------



## AlexSpritze (23. Apr 2010)

Hi FArt,

ich vermute ja, dass das gar nicht soo viel mit den WebServices zu tun hat.

Ich versuche nochmal eine andere Sicht auf mein Problem zu geben. Ich möchte die WebServices mit einem Service Account benutzen. Dieser hat über Impersonation Zugriff auf alle anderen Postfächer des Servers, unter anderem auch meins. Ich bzw. mein Account hat dieses Recht nicht.

Wenn ich die WebServices benutze, muss/will ich mich mit dem Service Account an dem Server mit den entsprechenden Benutzerdaten anmelden. Und dann im zweiten Schritt gebe ich an, auf welches Postfach ich zugreifen will. Ich bin an dem Windows-PC, an dem ich entwickle mit meinem Konto angemeldet und bekomme, wenn ich ein Testprogramm ausführen will, eine Zugriffsverletzung als Fehler. Wenn ich mich nun umgekehrt mit dem Service Account an dem Windows-PC anmelde und das Testprogramm starte, funktioniert das Programm genau so wie es soll.

Das sieht für mich so aus, als ob ich automatisch von meiner Windows-Session angemeldet werde, liegt ja alles in der selben Domäne (?). Aber das kann es doch nicht sein!? Davor habe ich die ganze Zeit gegen einen virtuellen Exchange Server programmiert und da hat es augenscheinlich sehr gut funktioniert, und nun wollte ich das ganze Programm in die freie Wildbahn lassen und es geht nicht. Das bringt mich noch um den Verstand 

Also im Endeffekt bleibt die Frage, wieso loggt mich Java (?) automatisch an einen Server an? Der Server, an den ich gehe, ist auch für Kerberos bzw. NTLM konfiguriert. Aber eben auch für Basic Authentication (=Benutzername/Passwort). Darum suche ich, eben die Einstellmöglichkeit für eine explizite Basic Authentication.


----------

