个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我正在开发一个项目,我们将 JAAS/Krb5LoginModule 与 useTicketCache 和 doNotPrompt 以及 allowtgtsessionkey 结合使用。注册表更改以在加入域的计算机的 Windows 登录上搭载我们的身份验证。
然后,我们使用 jgss/kerberos 获取 GSS API Kerberos token (rfc1964),我们使用该 token 通过 WSS Kerberos token 配置文件保护 SOAP 消息的安全1.1.1 与服务通信时。这涉及将 b64 编码的 GSS token 包含在 SOAP 信封/ header 的安全元素中,并使用客户端/服务 session key 对该元素的组件进行签名。
我们通过查询 JAAS/Krb5LoginModule 返回的 javax.security.auth.Subject 的私有(private)凭证并查找与我们的服务对等名称匹配的 javax.security.auth.kerberos.KerberosTicket 来获取 client/sessionKey调用其 getSessionKey()。
所有这些在 Java-6 中都可以正常工作,但是 Java-7 客户端会失败,因为 Java-7 创建的 Kerberos KRB_AP_REQ 消息似乎发生了变化。 Java-7 KRB_AP_REQ validator 包含一个与 sessionKey 不同的子 key 。由于 Kerberos 规范(请参阅下面的摘录)表示该子 key 取代了 sessionKey,因此我们使用 sessionKey 进行签名的 Java-6 行为不再正确。
RFC1510 - The Kerberos Network Authentication Service (V5)
5.3.2. Authenticators
subkey This field contains the client's choice for an encryption
key which is to be used to protect this specific
application session. Unless an application specifies
otherwise, if this field is left out the session key from
the ticket will be used.
我没有看到任何地方记录了此更改,但至少在 Java(TM) SE 运行时环境(版本 1.7.0_11-b21)中确认了该行为。
在这一点上,除非我错过了一些明显的东西(我希望我错过了),否则我们的选择似乎是:
更改 Java-7 Kerberos 配置以恢复为 Java-6 行为 - 不幸的是,我在文档中没有看到任何内容表明这是可能的。
找到访问子项的方法。对于这个选项,我探索过的是
a.解码b64编码的GSS Token,拉出加密的Authenticator,使用sessionKey解密,解码ASN.1 DER编码并拉出子 key 。
b.使用看似非标准的 GSS API Extensions并使用带有 KRB5_GET_SESSION_KEY 的 ExtendedGSSContext.inquireSecContext() 方法来获取子 key 。
对这些或其他可能的选项有什么建议/见解吗?
最佳答案
我们在 Java 1.7 中使用 JGSS Api 获取客户端 session key 时也遇到此问题。显然,在 Java 1.6 中,子 key 总是从 session key 克隆,请参阅 sun.security.krb5.EncryptionKey 构造函数:
EncryptionKey(EncryptionKey encryptionkey)
throws KrbCryptoException
{
keyValue = (byte[])(byte[])encryptionkey.keyValue.clone();
keyType = encryptionkey.keyType;
}
从 Java 1.7.0_b07 开始,此构造函数利用 java.security.SecureRandom 生成新的子项。我认为这是作为 JDK-4460771 : Kerberos should be able to generate sub-session keys 的一部分完成的。看来 com.sun.security.jgss.ExtendedGSSContext 提供了从现在开始访问子项的“标准”方式(在 Sun JVM 上),所以我想我们应该使用这个类,如果它是可用(在底层 JVM 上),请参阅:
JDK-6710360 : export Kerberos session key to applications
谢谢, 德特林
关于Java-6 到 Java-7 Kerberos - 破坏行为更改 sessionKey 现在 AP-REQ.Authenticator.subkey,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17830318/
24
4
0
我想创建一个基于 jQuery 的非常简单的 html 编辑器(不是所见即所得)。 我的问题是如何制作 textarea或 div可能 在上面写一些文字 然后样式即标签(例如 some stuff 将
根据文档 isset 条款“测试此项目中是否已设置给定属性”。我不明白设置属性时 isset 返回 true 还是 false 在下面的代码片段中,当 env.JAVA_HOME 未设置时,java.
我正在尝试取消映射 o这是执行 :only 的默认命令( :help :only ),所以我尝试的第一件事是: nmap o 这种作品,除非我按 ,等待超过timeoutlen ms 然后按 o
我有以下型号: class MetaData(models.Model): created_at = models.DateTimeField(auto_now_add=True, auto_
下面列出了两行代码。两者对日期和时间的期望相同,但只有一个有效。我正在使用 R 3.1。 以下不起作用: DateTime2=strftime("08/13/2010 05:26:24.350", f
我有一个关于 C 代码的问题。 #include void foo(void){ int a; printf("%d\n",a); } void bar(void){
如果文件大小 > 8k,为什么读取的最后一个字节 = 0? private static final int GAP_SIZE = 8 * 1024; public static void main(
我有一个命令 Get-Testdata从不同来源检索测试数据并将这些数据存储到 PSObject以不同的值作为属性。然后将对象总数存储为数组,以便于操作、排序、计算等。 我的问题是我希望能够将这些数据
我正在使用 epoll 将大消息写入使用 HTTP 协议(protocol)的服务器。 fds 都设置为非阻塞,我正在使用边缘触发事件。我知道对于 EPOLLIN,我需要循环读取 fd,直到返回 EA
这对我来说听起来很奇怪: $test_1 = 'string'; $test_2 = '0'; var_dump(intval($test_1)); // Output: int 0 var_dump
这个问题在这里已经有了答案: Java: Integer equals vs. == (7 个回答) 7年前关闭。 请您解释以下行为。 public class EqAndRef { publ
Drupal 的行为到底是什么? 它为模块开发人员提供什么类型的服务层? 它映射到 jQuery.ready 的关系类型是什么? 最佳答案 长版:Drupal.behaviors 不仅仅是 jQuer
以下代码: dispatch_async(dispatch_get_global_queue(DISPATCH_QUEUE_PRIORITY_HIGH, 0), ^{ for (int i=0
人们可以将项目添加到数据库中。我让他们选择在此时添加它,或手动选择日期。 因此我得到了这个 HTML 结构。 (请注意,我将日期和时间选择器妥协为只有一行文本) Selec
创建了一个数据框: simpleDF is.na(simpleDF$vals) [1] TRUE TRUE FALSE > is.nan(simpleDF$vals) [1] FALSE TRU
我有一个大的 docker 镜像 A,我创建了一个新的 Dockerfile FROM A RUN rm /big-folder 我尝试使用以下方法构建图像: docker build --squas
我想知道以下情况下 JVM 的行为是什么: JVM 最小堆大小 = 500MB JVM 最大堆大小 = 2GB 操作系统有 1GB 内存 JVM启动后,程序运行一段时间后,使用内存超过1GB。我想知道
我们正在使用 spikeearrest 策略,但我们不了解其工作原理。峰值逮捕配置如下: 5pm 阅读文档,我们了解到,如果我们在一分钟内调用此流超过 5 次,则该策略将在第 5 次之后
我正在使用 cURL 发送 POST 请求: curl http://tarvos.local:8080/partial_Users/2 -d '{currentPage : 1, firstID :
我的表中有 6442670 条记录,我正在使用以下命令获取它们jdbctemplate 使用行号一次 1000000 个。以下是查询 select * from (select rowNum rn
我是一名优秀的程序员,十分优秀!