猿问

回到首页 个人中心 反馈问题 注册登录
下载APP
首页 课程 实战 体系课 手记 专栏 慕课教程

KrbException:S4U2self 需要一张可转发的票

我正在尝试通过我的 Java 代码执行 kerberos 约束委派。我有一个密钥表文件、附加到用户的 SPN,以及为该用户启用的 SPN 委派。当我尝试使用 Keytab 登录时,我得到了 SPN 的 TGT。但是,此票证上的“可转发”标志设置为 false。


为了模拟其他用户,我需要将此标志设置为 true。


注意:在 SPN 用户上设置了 ADS_UF_TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION 标志。


非常感谢任何帮助。


private void tryKrb5Module() throws LoginException {

        System.setProperty("sun.security.krb5.debug", "true");

        System.setProperty("javax.security.auth.useSubjectCredsOnly","true");//has no impact


        final Subject subject = new Subject();

        final Krb5LoginModule krb5LoginModule = new Krb5LoginModule();

        final Map<String,String> optionMap = new HashMap<String,String>();


        optionMap.put("keyTab", "c:\\ticket\\delegationUser.keytab");

        optionMap.put("principal", "TEST/TEST"); // default realm

        optionMap.put("doNotPrompt", "true");

        optionMap.put("refreshKrb5Config", "true");

        optionMap.put("useTicketCache", "true");

        optionMap.put("renewTGT", "true");

        optionMap.put("useKeyTab", "true");

        optionMap.put("storeKey", "true");

        optionMap.put("isInitiator", "true");



        krb5LoginModule.initialize(subject, null, new HashMap<String,String>(), optionMap);


        boolean loginOk = krb5LoginModule.login();

        System.out.println("======= login:  " + loginOk);


        boolean commitOk = krb5LoginModule.commit();

        System.out.println("======= commit: " + commitOk);


        System.out.println("======= Principal from subject: " + subject.getPrincipals());


    }


手掌心
浏览 182回答 2
2回答

弑天下

我想出了解决办法。您需要在系统路径中设置 krb 配置文件。然后只有从 keytab 获得的票是“可转发的”。令人惊讶的是,这在任何地方都没有明确提及。System.setProperty("java.security.krb5.conf", "path_to_krb_config");还要确保您在 krb 配置文件中提到了“forwardable = true”。在下面粘贴示例 krb 配置文件:[libdefaults]default_realm = DOMAIN.COMdefault_tkt_enctypes = aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5default_tgs_enctypes = aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5permitted_enctypes = aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5dns_lookup_kdc = truedns_lookup_realm = falseforwardable = true[realms]&nbsp; &nbsp; DOMAIN.COM = {&nbsp; &nbsp; &nbsp; &nbsp; kdc = KDC_HOST.DOMAIN.COM&nbsp; &nbsp; &nbsp; &nbsp; admin_server = KDC_HOST.DOMAIN.COM&nbsp; &nbsp; &nbsp; &nbsp; default_domain = DOMAIN.COM&nbsp; &nbsp; }[domain_realms]&nbsp; &nbsp; domain.com = DOMAIN.COM&nbsp; &nbsp; .domain.com = DOMAIN.COM
0

犯罪嫌疑人X

服务帐户“TEST”及其密钥表仅用于与 KDC 建立“信任”并授予服务代码以调用方法 S4U2Self 和 S4U2Proxy。因此服务帐户 TGT 预计不可转发。除了krb5.conf您创建的 JAAS 登录配置之外,不需要文件。另一种选择是简单地添加,您的服务帐户“TEST”TGT 将可转发。MapKrb5LoginModuleoptionMap.put("forwardable", "true");顺便说一下,对于 kerberos 约束委派,只需要使用 S4U2Self 生成的模拟用户票证 TGT 是可转发的,这仅取决于“ ADS_UF_TRUSTED_TO_AUTHENTICATE_FOR_DELEGATIONTEST”服务帐户上的标志。
0
打开App,查看更多内容
随时随地看视频慕课网APP

相关分类

Java