java - 为什么 JDK1.8.0u121 无法找到 kerberos default_tkt_enctypes 类型？ (KrbException : no supported default etypes for default_tkt

java - 为什么 JDK1.8.0u121 无法找到 kerberos default_tkt_enctypes 类型？ (KrbException : no supported default etypes for default_tkt_enctypes)

转载作者：搜寻专家更新时间：2023-11-01 02:20:59

以下是我的环境详细信息:-

KDC 服务器:Windows Server 2012

目标机器:Windows 7

JDK 版本:Oracle 1.8.0_121(64 位)

我在 Windows 7 机器上运行 Java 的 kinit 命令时遇到以下异常:-

C:\Program Files\Java\jdk1.8.0_121\bin>kinit -k -t "C:\Program Files\Apache Software Foundation\Tomcat 8.0\conf\tomcat_ad.keytab" HTTP/dev26.devdevelopment.com@DEVDEVELOPMENT.COM
Exception: krb_error 0 no supported default etypes for default_tkt_enctypes No error
KrbException: no supported default etypes for default_tkt_enctypes
        at sun.security.krb5.Config.defaultEtype(Config.java:844)
        at sun.security.krb5.internal.crypto.EType.getDefaults(EType.java:249)
        at sun.security.krb5.internal.crypto.EType.getDefaults(EType.java:262)
        at sun.security.krb5.KrbAsReqBuilder.build(KrbAsReqBuilder.java:261)
        at sun.security.krb5.KrbAsReqBuilder.send(KrbAsReqBuilder.java:315)
        at sun.security.krb5.KrbAsReqBuilder.action(KrbAsReqBuilder.java:361)
        at sun.security.krb5.internal.tools.Kinit.<init>(Kinit.java:219)
        at sun.security.krb5.internal.tools.Kinit.main(Kinit.java:113)

Debug模式下的命令输出:-

C:\Program Files\Java\jdk1.8.0_121\bin>kinit -J-Dsun.security.krb5.debug=true -k -t "C:\Program Files\Apache Software Foundation\Tomcat 8.0\conf\tomca
t_ad.keytab" HTTP/dev26.devdevelopment.com@DEVDEVELOPMENT.COM
>>>KinitOptions cache name is C:\Users\devtcadmin\krb5cc_devtcadmin
Principal is HTTP/dev26.devdevelopment.com@DEVDEVELOPMENT.COM
>>> Kinit using keytab
>>> Kinit keytab file name: C:\Program Files\Apache Software Foundation\Tomcat 8.0\conf\tomcat_ad.keytab
Java config name: null
LSA: Found Ticket
LSA: Made NewWeakGlobalRef
LSA: Found PrincipalName
LSA: Made NewWeakGlobalRef
LSA: Found DerValue
LSA: Made NewWeakGlobalRef
LSA: Found EncryptionKey
LSA: Made NewWeakGlobalRef
LSA: Found TicketFlags
LSA: Made NewWeakGlobalRef
LSA: Found KerberosTime
LSA: Made NewWeakGlobalRef
LSA: Found String
LSA: Made NewWeakGlobalRef
LSA: Found DerValue constructor
LSA: Found Ticket constructor
LSA: Found PrincipalName constructor
LSA: Found EncryptionKey constructor
LSA: Found TicketFlags constructor
LSA: Found KerberosTime constructor
LSA: Finished OnLoad processing
Native config name: C:\Windows\krb5.ini
Loaded from native config
>>> Kinit realm name is DEVDEVELOPMENT.COM
>>> Creating KrbAsReq
>>> KrbKdcReq local addresses for dev26 are:

        dev26/192.168.1.229
IPv4 address

        dev26/fe80:0:0:0:78ae:388f:4f63:3717%11
IPv6 address
>>> KdcAccessibility: reset
>>> KeyTabInputStream, readName(): DEVDEVELOPMENT.COM
>>> KeyTabInputStream, readName(): HTTP
>>> KeyTabInputStream, readName(): dev26.devdevelopment.com
>>> KeyTab: load() entry length: 99; type: 18
Looking for keys for: HTTP/dev26.devdevelopment.com@DEVDEVELOPMENT.COM
Added key: 18version: 3
Exception: krb_error 0 no supported default etypes for default_tkt_enctypes No error
KrbException: no supported default etypes for default_tkt_enctypes
        at sun.security.krb5.Config.defaultEtype(Config.java:844)
        at sun.security.krb5.internal.crypto.EType.getDefaults(EType.java:249)
        at sun.security.krb5.internal.crypto.EType.getDefaults(EType.java:262)
        at sun.security.krb5.KrbAsReqBuilder.build(KrbAsReqBuilder.java:261)
        at sun.security.krb5.KrbAsReqBuilder.send(KrbAsReqBuilder.java:315)
        at sun.security.krb5.KrbAsReqBuilder.action(KrbAsReqBuilder.java:361)
        at sun.security.krb5.internal.tools.Kinit.<init>(Kinit.java:219)
        at sun.security.krb5.internal.tools.Kinit.main(Kinit.java:113)

以下是 KDC 服务器 (Windows Server 2012) 上用于生成 tomcat_ad.keytab 文件的 ktpass 命令的输出:-

C:\Users\Administrator>ktpass /out C:\tomcat_ad.keytab /mapuser devtcadmin@DEVDEVELOPMENT.COM /princ HTTP/dev26.devdevelopment.com@DEVDEVELOPMENT.COM /pass ****** /crypto AES256-SHA1 ptype KRB5_NT_PRINCIPAL
    Targeting domain controller: dev.devdevelopment.com
    Using legacy password setting method
    Successfully mapped HTTP/dev26.devdevelopment.com to devtcadmin.
    Key created.
    Output keytab to C:\tomcat_ad.keytab:
    Keytab version: 0x502
    keysize 99 HTTP/dev26.devdevelopment.com@DEVDEVELOPMENT.COM ptype 1 (KRB5_NT_PRINCIPAL) vno 3 etype 0x12 (AES256-SHA1) keylength 32 (0xf20788d7c6f99c385fc91b53c7d9ef55591d314e5340ca1fb9acac1b178c8861)

以下是在 Windows 7 机器上位于 C:\Windows 的 krb5.ini 文件的内容:-

[libdefaults]
default_realm=DEVDEVELOPMENT.COM
default_keytab_name=“C:\Program Files\Apache Software Foundation\Tomcat 8.0\conf\tomcat_ad.keytab"
default_tkt_enctypes=aes256-cts-hmac-shal-96
default_tgs_enctypes=aes256-cts-hmac-shal-96
permitted_enctypes=aes256-cts-hmac-shal-96
udp_preference_limit=1
forwardable=true

[realms]
DEVDEVELOPMENT.COM={
    kdc=dev.devdevelopment.com:88
}

[domain_realm]
devdevelopment.com=DEVDEVELOPMENT.COM
.devdevelopment.com=DEVDEVELOPMENT.COM

以下是 Java 的 ktab 命令在 Windows 7 机器上的输出:-

C:\Program Files\Java\jdk1.8.0_121\bin>ktab -l -e -t -k "C:\Program Files\Apache Software Foundation\Tomcat 8.0\conf\tomcat_ad.keytab"
Keytab name: C:\Program Files\Apache Software Foundation\Tomcat 8.0\conf\tomcat_ad.keytab
KVNO Timestamp      Principal
---- -------------- ---------------------------------------------------------------------------------------
   3 1/1/70 5:30 AM HTTP/dev26.devdevelopment.com@DEVDEVELOPMENT.COM (18:AES256 CTS mode with HMAC SHA1-96)

我还更新了 C:\Program Files\Java\jre1.8.0_121\lib\security 和 C:\Program 下的 JCE jar 文件Files\Java\jdk1.8.0_121\jre\lib\security文件夹。

应该如何克服这个异常？

编辑 1(接我的第 3 条评论):-

以下是第一个 knit 命令的输出，tomcat_ad.keytab 文件位于 C:\Program Files\Java\jre1.8.0_121\bin 文件夹:-

C:\Program Files\Java\jdk1.8.0_121\bin>kinit -k -t tomcat_ad.keytab HTTP/dev26.devdevelopment.com
New ticket is stored in cache file C:\Users\devtcadmin\krb5cc_devtcadmin

并且，以下是 kinit 命令的输出以及 C:\Program Files\Apache Software Foundation\Tomcat 8.0 中的 tomcat_ad.keytab 文件\conf\tomcat_ad.keytab 文件夹并在 path 环境变量中添加 C:\Program Files\Java\jdk1.8.0_121\bin; 后: -

C:\Users\devtcadmin>kinit -k -t "C:\Program Files\Apache Software Foundation\Tomcat 8.0\conf\tomcat_ad.keytab" HTTP/dev26.devdevelopment.com@DEVDEVELOPMENT.COM
New ticket is stored in cache file C:\Users\devtcadmin\krb5cc_devtcadmin

但是这次在 Debug模式下的 kinit 命令给出了以下异常:-

C:\Users\devtcadmin>kinit -J-Dsun.security.krb5.debug=true -k -t "C:\Program Files\Apache Software Foundation\Tomcat 8.5\conf\tomcat_ad.keytab" HTTP/dev26.devdevelopment.com@DEVDEVELOPMENT.COM
>>>KinitOptions cache name is C:\Users\devtcadmin\krb5cc_devtcadmin
Principal is HTTP/dev26.devdevelopment.com@DEVDEVELOPMENT.COM
>>> Kinit using keytab
>>> Kinit keytab file name: C:\Program Files\Apache Software Foundation\Tomcat 8.5\conf\tomcat_ad.keytab
Java config name: null
LSA: Found Ticket
LSA: Made NewWeakGlobalRef
LSA: Found PrincipalName
LSA: Made NewWeakGlobalRef
LSA: Found DerValue
LSA: Made NewWeakGlobalRef
LSA: Found EncryptionKey
LSA: Made NewWeakGlobalRef
LSA: Found TicketFlags
LSA: Made NewWeakGlobalRef
LSA: Found KerberosTime
LSA: Made NewWeakGlobalRef
LSA: Found String
LSA: Made NewWeakGlobalRef
LSA: Found DerValue constructor
LSA: Found Ticket constructor
LSA: Found PrincipalName constructor
LSA: Found EncryptionKey constructor
LSA: Found TicketFlags constructor
LSA: Found KerberosTime constructor
LSA: Finished OnLoad processing
Native config name: C:\Windows\krb5.ini
Loaded from native config
>>> Kinit realm name is DEVDEVELOPMENT.COM
>>> Creating KrbAsReq
>>> KrbKdcReq local addresses for dev26 are:

        dev26/192.168.1.229
IPv4 address

        dev26/fe80:0:0:0:78ae:388f:4f63:3717%11
IPv6 address
>>> KdcAccessibility: reset
Looking for keys for: HTTP/dev26.devdevelopment.com@DEVDEVELOPMENT.COM
Using builtin default etypes for default_tkt_enctypes
default etypes for default_tkt_enctypes: 18 17 16 23.
Exception: krb_error 0 Do not have keys of types listed in default_tkt_enctypes available; only have keys of following type:  No error
KrbException: Do not have keys of types listed in default_tkt_enctypes available; only have keys of following type:
        at sun.security.krb5.internal.crypto.EType.getDefaults(EType.java:280)
        at sun.security.krb5.KrbAsReqBuilder.build(KrbAsReqBuilder.java:261)
        at sun.security.krb5.KrbAsReqBuilder.send(KrbAsReqBuilder.java:315)
        at sun.security.krb5.KrbAsReqBuilder.action(KrbAsReqBuilder.java:361)
        at sun.security.krb5.internal.tools.Kinit.<init>(Kinit.java:219)
        at sun.security.krb5.internal.tools.Kinit.main(Kinit.java:113)

为什么在 C:\Windows\krb5.ini 文件中注释了这些行后，上述命令会起作用？以及 Debug模式下的kinit命令为什么会输出上述异常？

最佳答案

我以前见过这个。尝试这个。将 keytab 复制到 C:\Program Files\Java\jdk1.8.0_121\bin 目录，然后在该目录中使用下面显示的更简单的命令重试。您不需要将 Kerberos 领域附加到 SPN，因为您已经在 krb5.conf 中定义了领域，因此我将其删除。

kinit -k -t tomcat_ad.keytab HTTP/dev26.devdevelopment.com

如果它仍然不起作用，请确保您确实在\lib\security 目录中拥有无限强度的 JCE jar 文件。尽管您说过，但 Java JRE 升级可以覆盖它们。

编辑:在 AD 用户帐户 devtcadmin 的帐户选项卡上，确保框“此帐户支持 Kerberos AES 256位加密”被勾选。

如果还是不行，那么在 Windows 7 机器上，在 C:\Windows\krb5.conf 中，注释掉下面的四行，如下所示。它们不是必需的，因为 Kerberos 无论如何都会使用尽可能高的加密类型，并且在 Windows 7/2008 及更高版本中，默认使用 TCP，因此您无需设置 UDP 首选项限制。

#default_tkt_enctypes=aes256-cts-hmac-shal-96
#default_tgs_enctypes=aes256-cts-hmac-shal-96
#permitted_enctypes=aes256-cts-hmac-shal-96
#udp_preference_limit=1

快速浏览一下我的 TechNet 文章，以进一步引用:Kerberos Keytabs – Explained

关于java - 为什么 JDK1.8.0u121 无法找到 kerberos default_tkt_enctypes 类型？ (KrbException : no supported default etypes for default_tkt_enctypes)，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/42998255/

文章推荐： java - 如何在 Eclipse 中恢复 Project Facets 转换？

文章推荐： javascript - ES6 中的函数参数定义

文章推荐： javascript - 在浏览器中编程 javascript 时限制副作用

文章推荐： java - 如何删除，不清除工作表中的行？

python - "self.default = default if default else type()"是什么意思？
自从我开始工作(约 6 年)以来，我一直是 .NET 的一员。最近在做一个使用Django的项目，需要并行学习Python。很多时候我碰到的 Python 代码看起来很简单，但我就是看不懂。这是其中之
Java 继承 : the strict default-abstract and default-default conflict rules
谁能解释一下 JLS §8.4.8.4 中提到的“严格的default-abstract 和default-default 冲突规则” . 它们是否在 JLS 中定义？我似乎找不到他们的定义。最佳答
iphone - iPhone/iPad通用应用程序如何正确添加这三个文件?"Default.png, Default-568h@2x.png, Default@2x.png"？
我在我的启动图像通用项目中添加了“Default.png，Default-568h@2x.png，Default@2x.png”这三个文件，我有三个不同的图像，分辨率与苹果中提到的完全相同文档，适用于
amazon-web-services - 无法删除 default.mysql8.0 : Default DBParameterGroup cannot be deleted: default. mysql8.0
我试图在删除 AWS RDS MySQL 数据库后删除默认的数据库参数组，但出现以下错误 Failed to delete default.mysql8.0: Default DBParameterG
reactjs - TypeError : firebase. default.messaging is not a function (in '_firebase.default.messaging()' ,'firebase.default.messaging is undefined)
我想使用 firebase 云函数发送通知，所以我尝试使用 firebase.messaging().getToken() 获取 token ，但我不断收到错误消息: TypeError: fireb
react-native - _react3.default.createref 不是一个函数。(在 '_react2.default.createRef()' _react2.default.createRef 是未定义的
无法通过 Instagram 登录我的应用。我正在使用 react-native instagram 包，但我面临这个问题，因为 _react3.default.creteRef() 不是一个函数。引
rust - 为什么 Default::default() 不是一个常量函数？
从 Rust 1.6 开始，当前特征 Default定义为， pub trait Default { fn default() -> Self; } 为什么不是这个 pub trait Def
default - switch 语句是否应该始终包含 default 子句？
在我的第一次代码审查(不久前)中，我被告知在所有 switch 语句中包含默认子句是一种很好的做法。我最近想起了这个建议，但不记得其理由是什么。现在对我来说听起来很奇怪。始终包含默认语句是否有合理的
javascript - TypeError : _app2. default.database 不是函数。 (在 '_app2.default.database()' 中， '_app2.default.database' 未定义)
这个错误很奇怪。在 firebase 中 react native 有什么问题我已经通过 npm install 安装了 firebase这是我的代码 import React, {Component
c++ - 我如何知道 Ubuntu 11.04 中 gcc、g++/c++ 的 "default include directories"、 "default link directories"和 "default link libraries"？
对于以下 3 种编译情况: gcc -o helloc hello.c (1) g++ -o hellocpp hello.cpp
javascript - switch 语句 default 总是显示 default
我有一个 switch 语句。它几乎可以正常工作，但是它不仅显示一个案例，还显示选定的案例，然后显示默认案例。这是我的代码: var people = { names: ["Sam", "Tim"
swift - parameter assigned with default(=default)是什么意思？
这个问题在这里已经有了答案: Default keyword in Swift parameter (1 个回答) 关闭 6 年前。我试图理解前置条件函数并遇到了“= default”。快速谷歌和
Kubernetes日志，用户 "system:serviceaccount:default:default"无法获取命名空间中的服务
禁止!配置的服务帐户无权访问。服务帐户可能已被撤销。用户“system:serviceaccount:default:default”无法获取命名空间“mycomp-services-process”
javascript - export default 和 export { default } 的区别
我一直在我的 React 中广泛使用命名导出和默认导出，我遇到了这 2 个相似的语法。从'./Button'导出默认值； export { default } from './Button'; 有人
javascript - Object.defaults 与 Object.prototype.defaults
我很困惑什么时候使用 .prototype 来扩展一个对象，什么时候不使用它。像下面的部分代码，为什么不在FacebookApi.defaults中使用.prototype，难道.prototype只
bash - ${var :=default} vs ${var:-default} - what is difference?
这个问题在这里已经有了答案: What is the difference between "var=${var:-word}" and "var=${var:=word}"? (4 个答案) 关闭
Python 数据类 : can you set a default default for fields?
我想创建一个数据类基类，其中子类中的所有字段都自动可选且默认为无(如果未提供默认值)。下面的代码……几乎可以满足我的要求，但又不完全是。它出错的方式就像我从未编写过 __init_subclass_
javascript - 为什么 `export default` 会导出一个带有 `default` 的对象而不是对象本身？
所以我有三个 Typescript 文件: 配置/env/development.ts import { Config } from '../config'; class DevConfig {
default-value - SQL : Create new column with default, 唯一值
我在一个名为 Activity 的表中添加了一个名为 Ordinal 的新列。问题是我给了它一个 UNIQUE 约束，将它设置为允许 NULL(尽管我最终不会想要这个。我只需要将它设置为那个以使脚本更
java - 关于 Struts-Default 和 json-default 扩展
嗨，我是 struts2 的新手，在我的项目中，我在注册页面使用 json-default 扩展，并使用validation.xml 文件验证它，在同一个项目中，我在登录页面使用 struts-def

搜寻专家

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

java - 为什么 JDK1.8.0u121 无法找到 kerberos default_tkt_enctypes 类型？ (KrbException : no supported default etypes for default_tkt_enctypes)