- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
我有一个在 KERBOS.COM 机器上运行的服务器进程,它试图连接到 IN.KERBOS.COM(子领域)中的 LDAP 服务器以使用 GSSAPI 机制同步用户。
通过查看 GSSLLOGS 我们可以看到
它试图验证的 spn 属于 KERBOS.COM ldap/invr28ppqa36.in.kerbos.com@KERBOS.COM这是让它选择 IN.KERBOS.COM 作为领域的任何方式吗?
默认领域必须是 krb5.conf 中的 KERBOS.COM。因此,将默认领域更改为 IN.KERBOS.COM 不是一种选择。
我也给了它完全合格的名字所以应该有一些方法告诉它使用 IN.KERBOS.COM 作为领域。
env.put(Context.PROVIDER_URL, String.format("ldap://%s:%d", host, port));
Subject subject = new Subject();
subject.getPrivateCredentials().add(credential);
InitialLdapContext object = Subject.doAs(subject, new PrivilegedExceptionAction<InitialLdapContext>() {
public InitialLdapContext run() throws Exception {
env.put(Context.SECURITY_AUTHENTICATION, "GSSAPI");
return new InitialLdapContext(env, null);
} });
日志
Subject.doAs fails by throwing an exception (Intercept from Logs are given)
Found ticket for **sysadmin@IN.KERBOS.COM to go to krbtgt/IN.KERBOS.COM@IN.KERBOS.COM** Credentials acquireServiceCreds: obtaining service creds for **ldap/invr28ppqa36.in.kerbos.com@KERBOS.COM**
Using builtin default etypes for default_tgs_enctypes
default etypes for default_tgs_enctypes: 17 16 23 1 3.
KrbException: Fail to create credential. (63) - No service creds
at sun.security.krb5.internal.CredentialsUtil.acquireServiceCreds(CredentialsUtil.java:301)
at sun.security.krb5.Credentials.acquireServiceCreds(Credentials.java:442)
at sun.security.jgss.krb5.Krb5Context.initSecContext(Krb5Context.java:641)
at sun.security.jgss.GSSContextImpl.initSecContext(GSSContextImpl.java:248)
at sun.security.jgss.GSSContextImpl.initSecContext(GSSContextImpl.java:179)
at com.sun.security.sasl.gsskerb.GssKrb5Client.evaluateChallenge(GssKrb5Client.java:193)
at com.sun.jndi.ldap.sasl.LdapSasl.saslBind(LdapSasl.java:123)
at com.sun.jndi.ldap.LdapClient.authenticate(LdapClient.java:232)
at com.sun.jndi.ldap.LdapCtx.connect(LdapCtx.java:2740)
at com.sun.jndi.ldap.LdapCtx.<init>(LdapCtx.java:316)
at com.sun.jndi.ldap.LdapCtxFactory.getUsingURL(LdapCtxFactory.java:193)
at com.sun.jndi.ldap.LdapCtxFactory.getUsingURLs(LdapCtxFactory.java:211)
at com.sun.jndi.ldap.LdapCtxFactory.getLdapCtxInstance(LdapCtxFactory.java:154)
at com.sun.jndi.ldap.LdapCtxFactory.getInitialContext(LdapCtxFactory.java:84)
at javax.naming.spi.NamingManager.getInitialContext(NamingManager.java:684)
at javax.naming.InitialContext.getDefaultInitCtx(InitialContext.java:307)
at javax.naming.InitialContext.init(InitialContext.java:242)
at javax.naming.ldap.InitialLdapContext.<init>(InitialLdapContext.java:153)
at (LDAPConnector.java:101)
最佳答案
默认情况下,Kerberos 实现将从客户端领域的 KDC 开始,希望 KDC 可以提供到服务领域的跨领域引用。因此,您在 EXAMPLE.COM 中有一张票,您将前往名为 server.subdomain.example.com 的主机。您的客户端应该转到 EXAMPLE.COM KDC。那个 KDC 可以说它知道如何给你一张服务票,或者可以给你一张特殊的推荐票以更接近该服务;在此示例中,您可能希望它为您提供一个 krbtgt/SUBDOMAIN.EXAMPLE.COM@EXAMPLE.COM 领域。这告诉您的客户端转到 subdomain.example.com KDC。
显然,您的 KERBOS.COM KDC 不知道您的 LDAP 服务器由 IN.KERBOS.COM 领域提供服务。解决问题的一种方法是修复 KDC。这将取决于您拥有的 KDC 软件。或者,您可以编辑您的 krb5.conf 并告诉您的客户 in.kerbos.com 下的所有内容都由 IN.KERBOS.COM KDC 提供。在您的 krb5.conf 中添加如下部分:
[domain_realm]
.in.kerbos.com = IN.KERBOS.COM
参见 this作为讨论 krb5.conf 的示例,包括 Java 中的 domain_realm 部分。参见 RFC 6806有关推荐工作方式的技术细节。
关于java - LDAP 在使用 GSSAPI 的 Java 子领域/跨领域设置中创建 InitialLdapContext 失败,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19180833/
我在使用 Java 反射获取类中的字段时遇到问题: public class CraftLib { static List alloyRecipes = new ArrayList();
我试图避免此类 ContentDomain 成为上帝类,并将功能隔离到特定类中(以遵循 SRP),就像这样 内容域: public class ContentDomain : IContentDom
1. 什么是领域 百度百科对领域的解释: 领域具体指一种特定的范围或区域 领域一般指的是业务的问题域,领域是有边界的,边界内,规定了我们要做什么,要做的范围,软件项目从开始到交付的过
我有一个包含产品的elasticsearch索引,我试图创建一个具有文本字段功能的搜索列表产品。 数据集的排序示例{"name": "foo", "count": 10}{"name": "bar",
我知道有人问过类似的问题,但我还没有找到明确的解决方案。我正在尝试从一个大类(class)中模拟一个私有(private)领域。私有(private)字段在一些较早的方法中被实例化,我正在尝试对引用该
当使用 JDBC 领域进行授权时,我通常有以下表: 用户表 角色表 分组表 当我现在使用用户名、密码登录时,安全模块会在表中进行查找:为我提供用户的所有角色:用户名。 我可以以某种方式连接到进程并添加
我有两组 Web 应用程序,它们都在同一台 Tomcat 5.5 服务器上运行。 我在 server.xml 中定义了一个通用领域: 我的“美国”应用程序都希望与该数据源共享
我设法使用 key 表在我的 Web 应用程序中启用 SSO。我必须更新以下文件才能使其正常工作: Jass.conf Krb5.conf Server.xml(领域) 网络.xml 它工作正常。我的
我有一个这样定义的结构 private struct Combinators { public const char DirectChild = '>'; public const c
我正在使用 maven 和 eclipse juno 为 Tomcat 7 开发自定义领域。 它看起来很像 Implement a Tomcat Realm with LDAP authenticat
我真的是模拟的新手,正在尝试用模拟对象替换私有(private)字段。目前私有(private)字段的实例是在构造函数中创建的。我的代码看起来像... public class Cache {
在 ECMAScript 规范中引入了“领域”的概念: Before it is evaluated, all ECMAScript code must be associated with a re
我正在为 Subversion 编写一个简单的内部前端。多亏了 WebDAV,我们有一个 Apache 设置为 SVN 存储库提供服务。此外,身份验证是通过 Apache 领域和 Open Direc
有时,C++ 的隐私概念让我感到困惑 :-) class Foo { struct Bar; Bar* p; public: Bar* operator->() const
我现在为此进行了一些搜索,但无法确定 protobuf-net 或 protobuf 通常是否支持以下意义上的前向兼容性: 旧版本的对象使用新字段反序列化新版本的对象,但在将其序列化回时保留该字段,因
根据Nexus 3.x docx,“您还需要启用 Realm 中通常概述的Docker Bearer token Realm 。默认情况下,此 Realm 处于非 Activity 状态” 有人知道如
我正在摆弄 Shiro 安全框架并实现自定义 JDBC 领域。 以下值当前在我的 shiro.ini 文件中设置 jdbcRealm.authenticationQuery = SELECT pass
我有以下 Spring 安全配置类,用于两个独立的安全领域:管理区域和前端区域: @Configuration @EnableWebSecurity @EnableGlobalMethodSecuri
按照目前的情况,这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持,但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visit the
我有 posqtresql 数据库。表中有一个整数字段。如何使它只有积极的?不在 rails 中进行验证。我需要在迁移文件中制作它 最佳答案 您可以在 Postgresql 中使用检查约束。 Rail
我是一名优秀的程序员,十分优秀!