1

これは私のkrb5.iniファイルです。

    [libdefaults]
        default_realm = TEST.EXAMPLE.COM
        .....
    [realms]
        TEST.EXAMPLE.COM = {
            kdc = test.example.com:88
            master_kdc = test.example.com:88
            default_domain = example.com
        }
    [domain_realm]
    .example.com = EXAMPLE.COM
    example.com = EXAMPLE.COM

USERAドメインにユーザーを作成し、を使用kinitして資格情報を作成し、jaas.config ファイルを次のように定義しました。

    example_config {
    com.ibm.security.auth.module.Krb5LoginModule required
        useDefaultCcache=false
        principal="userA@TEST.EXAMPLE.COM"  
        useCcache="file:///c:/Users/userA/krb5cc_userA"
        debug=true;
    };

認証されると、すべて問題ないようです。

    [JGSS_DBG_CRED] Retrieving Kerberos creds from cache for principal=userA@TEST.EXAMPLE.COM
    [JGSS_DBG_CRED] Non-interactive login; no callbacks necessary.
    [JGSS_DBG_CRED] Done retrieving Kerberos creds from cache
    [JGSS_DBG_CRED] Login successful
    [JGSS_DBG_CRED] userA@TEST.EXAMPLE.COM added to Subject
    [JGSS_DBG_CRED] Kerberos ticket for userA@TEST.EXAMPLE.COM added to Subject
    [JGSS_DBG_CRED] No keys to add to Subject for userA@TEST.EXAMPLE.COM

ただし、ユーザー プリンシパルではなく、サービス プリンシパル名を使用しようとしています。以前ktpassはキータブファイルを作成していました

ktpass -out "c:\mytab.keytab" -princ "Installation1/test.example.com@TEST.EXAMPLE.COM" -mapUser "TEST\userA" -mapOp set -pass password -crypto DES-CBC-MD5 -pType KRB5_NT_PRINCIPAL +DesOnly

そして、setspnチェックするために使用します

  C:\>setspn -l userA
Registered ServicePrincipalNames for CN=userA,CN=Users,DC=test,DC=example,DC=com:
   Installation1/test.example.com

設定を次のように変更します

    example_config{
      com.ibm.security.auth.module.Krb5LoginModule required
                credsType = both                
               principal="userA/test.example.com"
               useDefaultCcache = true     
               useDefaultKeytab = false
                useKeytab = "file:///c:/mytab.keytab"
                debug=true;   
    };

アプリを実行すると、

    [JGSS_DBG_CRED] Retrieving Kerberos creds from keytab for principal=Installation1/test.example.com
    [JGSS_DBG_CRED] Service name=Installation1/test.example.com@TEST.EXAMPLE.COM
    [JGSS_DBG_CRED] Check for Default keytab : 
    [JGSS_DBG_CRED] No Kerberos creds in keytab for principal Installation1/test.example.com
    [JGSS_DBG_CRED] No service key in keytab; login failed

構成ファイルで何が間違っていましたか? ktpassまたは、コマンドに欠けているものがありますか? Installation1Control Panel -> Services を確認したときの (Websphere MQ の) サービス名です。userA を認証して Websphere MQ サービスを使用したいと考えています。(たとえば、ユーザーに HTTP を使用させたい場合は、プリンシパルをHTTP/.....TEST.EXAMPLE.COM

ありがとう

4

1 に答える 1