java - Spring Security Kerberos + AD，校验和失败-6ren

java - Spring Security Kerberos + AD，校验和失败

转载作者：塔克拉玛干更新时间：2023-11-02 08:40:43

25

4

我正在尝试使用 Active Directory 凭据执行 Spring Security Kerberos，如 http://docs.spring.io/spring-security-kerberos/docs/1.0.1.RELEASE/reference/htmlsingle/#samples-sec-server-win-auth 中所述.我想说我已经记下了大部分内容(SPN、 key 表等)。现在我有一个校验和失败。假设我更改了主体名称，我收到 AES 加密错误。

我在 RHEL 6 上使用 Spring Boot 和 Oracle Java 1.8 + JCE样本来自 https://github.com/spring-projects/spring-security-kerberos/tree/master/spring-security-kerberos-samples/sec-server-win-auth

这是我运行 jar 时得到的结果

Debug is true storeKey true useTicketCache false useKeyTab true doNotPrompt true ticketCache is null isInitiator false KeyTab is /home/boss/webdev125-3.keytab refreshKrb5Config is false principal is http/webdev@EXAMPLE.ORG tryFirstPass is false useFirstPass is false storePass is false clearPass is false

principal is http/webdev@EXAMPLE.ORG Will use keytab Commit Succeeded

....

2015-11-25 11:29:09.631 DEBUG 5559 --- [nio-8080-exec-3] .a.KerberosServiceAuthenticationProvider : Try to validate Kerberos Token 2015-11-25 11:29:10.003 WARN 5559 --- [nio-8080-exec-3] w.a.SpnegoAuthenticationProcessingFilter : Negotiate Header was invalid:

...

org.springframework.security.authentication.BadCredentialsException: Kerberos validation not successful at org.springframework.security.kerberos.authentication.sun.SunJaasKerberosTicketValidator.validateTicket(SunJaasKerberosTicketValidator.java:71) at org.springframework.security.kerberos.authentication.KerberosServiceAuthenticationProvider.authenticate(KerberosServiceAuthenticationProvider.java:64) at org.springframework.security.authentication.ProviderManager.authenticate(ProviderManager.java:156)

...

Caused by: org.ietf.jgss.GSSException: Failure unspecified at GSS-API level (Mechanism level: Checksum failed)

    at sun.security.jgss.krb5.Krb5Context.acceptSecContext(Krb5Context.java:856)
    at sun.security.jgss.GSSContextImpl.acceptSecContext(GSSContextImpl.java:342)
    at sun.security.jgss.GSSContextImpl.acceptSecContext(GSSContextImpl.java:285)
    at sun.security.jgss.spnego.SpNegoContext.GSS_acceptSecContext(SpNegoContext.java:906)
    at sun.security.jgss.spnego.SpNegoContext.acceptSecContext(SpNegoContext.java:556)
    at sun.security.jgss.GSSContextImpl.acceptSecContext(GSSContextImpl.java:342)
    at sun.security.jgss.GSSContextImpl.acceptSecContext(GSSContextImpl.java:285)
    at org.springframework.security.kerberos.authentication.sun.SunJaasKerberosTicketValidator$KerberosValidateAction.run(SunJaasKerberosTicketValidator.java:170)
    at org.springframework.security.kerberos.authentication.sun.SunJaasKerberosTicketValidator$KerberosValidateAction.run(SunJaasKerberosTicketValidator.java:153)
    ... 48 common frames omitted

Caused by: sun.security.krb5.KrbCryptoException: Checksum failed

    at sun.security.krb5.internal.crypto.Aes256CtsHmacSha1EType.decrypt(Aes256CtsHmacSha1EType.java:102)
    at sun.security.krb5.internal.crypto.Aes256CtsHmacSha1EType.decrypt(Aes256CtsHmacSha1EType.java:94)
    at sun.security.krb5.EncryptedData.decrypt(EncryptedData.java:175)
    at sun.security.krb5.KrbApReq.authenticate(KrbApReq.java:281)
    at sun.security.krb5.KrbApReq.<init>(KrbApReq.java:149)
    at sun.security.jgss.krb5.InitSecContextToken.<init>(InitSecContextToken.java:108)
    at sun.security.jgss.krb5.Krb5Context.acceptSecContext(Krb5Context.java:829)
    ... 56 common frames omitted

Caused by: java.security.GeneralSecurityException: Checksum failed

    at sun.security.krb5.internal.crypto.dk.AesDkCrypto.decryptCTS(AesDkCrypto.java:451)
    at sun.security.krb5.internal.crypto.dk.AesDkCrypto.decrypt(AesDkCrypto.java:272)
    at sun.security.krb5.internal.crypto.Aes256.decrypt(Aes256.java:76)
    at sun.security.krb5.internal.crypto.Aes256CtsHmacSha1EType.decrypt(Aes256CtsHmacSha1EType.java:100)
    ... 62 common frames omitted

一些其他细节:

/etc/krb5.conf 确实有 default_tgs_enctypes、default_tkt_enctypes 以包含 aes256-cts-hmac-sha1-96
默认 key 表位置在应用程序和 krb5.conf 之间匹配
key 表在 Windows 服务器上生成，然后复制到 RHEL

最佳答案

我似乎与现有的服务主体映射有冲突。一旦我清理了它，错误就停止了。此链接帮助我找到了解决方案 - https://developer.jboss.org/wiki/ConfiguringJBossNegotiationInAnAllWindowsDomain?_sscc=t

关于java - Spring Security Kerberos + AD，校验和失败，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/33927316/

25

4

0

文章推荐： java - Spring Boot 测试 : Test passes, 但不应该(误报)

文章推荐： ios - 在 iOS 7 中更改后退按钮会禁用滑动以返回导航

文章推荐： ios - 如何将 Crashlytics 与静态库集成

文章推荐： java - 如何检查wordNet中是否有单词

kerberos - Kerberos 门票的生命周期
我已经开始配置 kerberos。谁能解释我们在 krb5.conf 文件中设置的票证生命周期和更新生命周期。 ticket_lifetime = 2d renew_lifetime = 7d 是
kerberos - kerberos 只加密身份验证还是所有客户端通信？
kerberos 只加密身份验证过程还是所有客户端通信？我的印象是它就像 LAN 的 VPN。以便所有 LAN 通信都被加密。就像所有互联网通信都通过 VPN 加密一样。问候奥布里最佳答案 K
kerberos - Kerberos 身份验证的工作原理
我试图弄清楚kerberos身份验证是如何工作的，但我发现的信息总是缺少一些东西，就好像其中的一部分被认为是理所当然的。我大致了解该过程，但缺少一些细节。获取 TGT: 首先，用户应从 KDC 获取
kerberos - 可选的 kerberos 身份验证？
是否可以进行可选的 kerberos 身份验证？我想要的是:如果客户端(浏览器)不在域中，它被重定向到用户名/密码网络登录。否则它会做 SPNEGO 做 Kerberos 认证。有什么解决办法吗？
kerberos - ADFS 是否使用 kerberos？
目前正在寻找使用 AD 的联合服务器。首先想到的是使用 ADFS 来管理跨域和领域的服务请求。也就是说，应用程序必须有权访问特定用例的 Kerberos 票证。 AD FS 是否在任何时候使用 Ker
kerberos - GSS 异常 : No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt) while connecting Polybase with Kerberos
我们想通过 Polybase 将我们的 SQL Server 2016 Enterprise 与我们的 Kerberized OnPrem Hadoop-Cluster 和 Cloudera 5.14
kerberos - 使用 Kerberos 身份验证测试站点的负载/性能
哪个性能测试工具支持带有 Kerberos 身份验证的网页？仅仅回退到 NTLM 的工具是不够的。最佳答案我做了一些研究，可用工具列表是: Visual Studio 2010 Load tes
kerberos - SPN 与 Kerberos 的工作原理
据我了解， SPN 是 Windows 服务的身份验证工具。 Kerberos 是一个用户认证服务 SPNEGO-GSSAPI 是第三方 API能够使用这些服务。 SSPI:是发送的中立层从 SPNE
kerberos - CAS 和 Kerberos 之间的差异
我知道中央身份验证服务(CAS)和Kerberos都可以用于对建立 session 进行身份验证。这两种协议(protocol)至少涉及三方，并且将创建票证授予票证持续时间身份验证，那么CAS之间有哪
kerberos - 可选的 SPNEGO Kerberos 身份验证
是否可以进行可选的 kerberos 身份验证？我想要的是:如果客户端(浏览器)不在域上，它将被重定向到用户名/密码 Web 登录。否则它将执行 SPNEGO 执行 Kerberos 身份验证。如
kerberos - 为什么在 Kerberos 中生成 key 表后密码不正确？
在我的 Kerberos 系统中: 运行 kinit test并输入 passwd ，成功。通过 kadmin.local -q "xst -k test.keytab test" 生成 key 表
kerberos - NIFI - 如何连接到启用 Kerberos 的 KUDU
如何从 NIFI 连接到启用 Kerberos 的 Kudu？我只看到一个处理器可以访问 Kudu - PutKUDU 并且它不支持 Kerberos。我没有在网上看到任何有关使用 Kerberos
database - 理解成语 "kerberos login"和 "kerberos password"
我正在处理与数据库的 kerberized 连接。我想我了解kerberization的基础知识。用户请求KDC的“Authentication Server”部分获取TGT(Ticket Grant
kerberos - "Can' t 在 yarn 集群上获取 Kerberos 领域
情况如下: 我在 Windows 7 上使用 MIT Kerberos 客户端 kfw 4.0.1 执行此操作。我正在通过 OpenVPN 连接到使用 Kerberos 5 保护的 YARN 集群。这
kerberos - 将 kerberos 票证的 maxlife 重置超过 24 小时
我在我的机器上使用 MIT kerberos 5 对用户进行身份验证。这会将票证授予用户。我想将票的 maxlife 重置超过 24 小时。默认情况下，kerberos 票证的最长生命周期为 24 小
kerberos - 什么可能导致 Windows 上的 Kerberos TGT session key 全为零
我最近提出了一个问题，涉及我在让 MIT Kerberos 与 Microsoft 的 LSA 凭据缓存良好配合时遇到的一些问题。有人告诉我，设置注册表项 AllowTGTSessionKey 应该
hadoop - 可以将 hdfs 文件从 hadoop 集群 KERBEROS 复制到其他集群而不是 KERBEROS 吗？
我确实有一个具有 KERBEROS 安全性的 Hadoop 集群和另一个没有 KERBEROS 的 Hadoop 集群。我可以将文件从 KERBEROS hadoop 集群复制到非 KERBEROS
java - Spring Security Kerberos、Kerberos + AD - 错误 : Access Denied, 没有可存储的 key
这来自 Kerberos 示例应用程序，位于 https://github.com/spring-projects/spring-security-kerberos/tree/master/sprin
java - 发现 nn/hadoop-kerberos@HADOOP-KERBEROS 不支持的 key 类型 (8)
我正在尝试在启用 Kerberos 身份验证的安全模式下设置单节点 Hadoop 集群，使用 hadoop-2.4.0和 jdk1.7.0_25 . 为此，我按照文档中的描述创建了 key 表文件。在
kerberos - 使用 kerberos 安装 cifs-share 失败 : mount error(126): Required key not available
最近使用 Kerberos 安装 samba 共享停止工作。在另一台服务器上具有相同挂载选项的相同共享有效。所以我假设我们的 DNS 设置和/或 Active Directory 设置没有任何问题。似

首页

博学

6Ren·AI

商城

java - Spring Security Kerberos + AD，校验和失败