0

キータブを使用しており、Windows コマンドラインで kinit コマンドを使用して設定しています。「新しいチケットはキャッシュ ファイルに保存されています」というメッセージが表示されます。その後、Java アプリケーションを実行してキーのキータブ ファイルにアクセスすると、以下のエラーが発生します。

Authentication attempt failed javax.security.auth.login.LoginException: No key to store
javax.security.auth.login.LoginException: No key to store
    at com.sun.security.auth.module.Krb5LoginModule.commit(Unknown Source)
    at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
    at sun.reflect.NativeMethodAccessorImpl.invoke(Unknown Source)
    at sun.reflect.DelegatingMethodAccessorImpl.invoke(Unknown Source)
    at java.lang.reflect.Method.invoke(Unknown Source)
    at javax.security.auth.login.LoginContext.invoke(Unknown Source)
    at javax.security.auth.login.LoginContext.access$000(Unknown Source)
    at javax.security.auth.login.LoginContext$4.run(Unknown Source)
    at javax.security.auth.login.LoginContext$4.run(Unknown Source)
    at java.security.AccessController.doPrivileged(Native Method)

LDAP を使用して Active Directory に接続しようとしています。以下は構成設定です。

-Djavax.security.auth.useSubjectCredsOnly=false
-Djava.security.auth.login.config=C:\Users\cXXXXXX\Git\gssapi_jaas.conf
-Dsun.security.krb5.debug=true

デバッグは true storeKey true useTicketCache true useKeyTab true doNotPrompt true ticketCache は null isInitiator true KeyTab は

C:\Users\cXXXXXX\Git\abcd.keytab refreshKrb5Config が false プリンシパルが xxxx_dev@xxxx.xxxxxx.COM である tryFirstPass が false useFirstPass が false storePass が false clearPass が false キャッシュから TGT を取得する

KinitOptions キャッシュ名は C:\Users\cXXXXXX\krb5cc_cXXXXXX DEBUG クライアント プリンシパルは xxxx_dev@xxxx.xxxxxx.COM DEBUG サーバー プリンシパルは krbtgt/xxxx.xxxxxx.COM@Txxxx.xxxxxx.COM DEBUG キー タイプ: 23 DEBUG 認証時間: 月Jul 01 14:20:21 EDT 2019 DEBUG 開始時刻: Mon Jul 01 14:20:21 EDT 2019 DEBUG end time: Tue Jul 02 00:20:21 EDT 2019 DEBUG renew_till time: null CCacheStreamInput: readFlags() INITIAL; PRE_AUTH; ホスト アドレスは /xx.xx.xxx.xx です。ホスト アドレスは /xxx:0:0:0:xxxx:xxxx:xxxx:xxxx です。Java 構成名: null ネイティブ構成名: C:\windows\krb5.ini LSA から取得した TGT: 資格情報: client=sxxxx_dev@xxxx.xxxxxx.COM server=krbtgt/Txxxx.xxxxxx.

kinit キャッシュ ファイルを追加する前に、少なくともアカウントを検証できましたが、GSSapi のセキュリティに問題がありました。キャッシュを追加したことを解決しようとすると、この新しい問題が発生し始めました

public static void main(String[] args) {

    // 1. Log in (to Kerberos)
    LoginContext lc = null;
    try {
        /*lc = new LoginContext(Azrm017.class.getName(),
        new LuwCallBackHandler());
*/
        lc = new LoginContext("Azrm017");
        // Attempt authentication
        // You might want to do this in a "for" loop to give
        // user more than one chance to enter correct username/password
        lc.login();

    } catch (LoginException le) {
        System.err.println("Authentication attempt failed " + le);
        le.printStackTrace();
        System.err.println("Authentication attempt failed " + le.getSuppressed());

        System.exit(-1);
    }

    // 2. Perform JNDI work as logged in subject
    NamingEnumeration<SearchResult> ne =
            (NamingEnumeration<SearchResult>) Subject.doAs(lc.getSubject(),
                new SearchAction());
    while(ne.hasMoreElements()) {
        System.out.println(">>>> : " + ne.nextElement().getName());
    }

    //Subject.doAs(lc.getSubject(), new JndiAction(args));
    }
}


/**
 * The application must supply a PrivilegedAction that is to be run
 * inside a Subject.doAs() or Subject.doAsPrivileged().
 */
class SearchAction implements java.security.PrivilegedAction {

    public Object run() {

        // Set up the environment for creating the initial context
        Hashtable<String, String> env = new Hashtable<> (11);
        env.put(Context.INITIAL_CONTEXT_FACTORY,
            "com.sun.jndi.ldap.LdapCtxFactory");
        String cn = "dn:CN=xxxxxxx,OU=Service xxxxx,OU=Accounts,OU=xxxxx,DC=test,DC=xxxxxx,DC=com";
        env.put(Context.PROVIDER_URL, "ldap://test.xxxxxxx.com:389");
        env.put(Context.SECURITY_AUTHENTICATION, "GSSAPI");
        env.put("javax.security.sasl.server.authentication", "true");
        env.put("javax.security.sasl.qop", "auth-conf");

        DirContext ctx = null;
        try {
           // Create initial context
           ctx = new InitialDirContext(env);

           SearchControls ctls = new SearchControls();
           ctls.setReturningAttributes(
                 new String[] {"displayName", "mail","description", "suSunetID"});

           NamingEnumeration<SearchResult> answer =
                ctx.search("cn=People, dc=test, dc=xxxxxxxx, dc=com",
                                 "(&(cn=p*)(sn=s*))", ctls);

            return answer;


        } catch (Exception e) {
               e.printStackTrace();
        }
         // Close the context when we're done
        finally {
            closeContext(ctx);
        }
        return null;
    }

上に添付

4

1 に答える 1