1

次のチュートリアルを実行しています:http: //download.oracle.com/javase/6/docs/technotes/guides/security/jgss/tutorials/BasicClientServer.html

次のプロンプトが表示されます。

Connected to server localhost/127.0.0.1
Kerberos username [login]: {I enter my username here}
Kerberos password for login: {I enter my password here}

次のエラーが発生します。

これの根本的な原因を突き止めることができますか?

Exception in thread "main" GSSException: No valid credentials provided (Mechanism level: Attempt to obtain new INITIATE credentials failed! (null))
at sun.security.jgss.krb5.Krb5InitCredential.getTgt(Krb5InitCredential.java:333)
at sun.security.jgss.krb5.Krb5InitCredential.getInstance(Krb5InitCredential.java:128)
at sun.security.jgss.krb5.Krb5MechFactory.getCredentialElement(Krb5MechFactory.java:106)
at sun.security.jgss.krb5.Krb5MechFactory.getMechanismContext(Krb5MechFactory.java:172)
at sun.security.jgss.GSSManagerImpl.getMechanismContext(GSSManagerImpl.java:209)
at sun.security.jgss.GSSContextImpl.initSecContext(GSSContextImpl.java:195)
at sun.security.jgss.GSSContextImpl.initSecContext(GSSContextImpl.java:162)
at demo.SampleClient.main(SampleClient.java:145)
Caused by: javax.security.auth.login.LoginException: Message stream modified (41)
at com.sun.security.auth.module.Krb5LoginModule.attemptAuthentication(Krb5LoginModule.java:696)
at com.sun.security.auth.module.Krb5LoginModule.login(Krb5LoginModule.java:542)
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)
at java.lang.reflect.Method.invoke(Method.java:597)
at javax.security.auth.login.LoginContext.invoke(LoginContext.java:769)
at javax.security.auth.login.LoginContext.access$000(LoginContext.java:186)
at javax.security.auth.login.LoginContext$5.run(LoginContext.java:706)
at java.security.AccessController.doPrivileged(Native Method)
at javax.security.auth.login.LoginContext.invokeCreatorPriv(LoginContext.java:703)
at javax.security.auth.login.LoginContext.login(LoginContext.java:575)
at sun.security.jgss.GSSUtil.login(GSSUtil.java:246)
at sun.security.jgss.krb5.Krb5Util.getTicket(Krb5Util.java:136)
at sun.security.jgss.krb5.Krb5InitCredential$1.run(Krb5InitCredential.java:328)
at java.security.AccessController.doPrivileged(Native Method)
at sun.security.jgss.krb5.Krb5InitCredential.getTgt(Krb5InitCredential.java:325)
... 7 more
Caused by: KrbException: Message stream modified (41)
at sun.security.krb5.KrbKdcRep.check(KrbKdcRep.java:53)
at sun.security.krb5.KrbAsRep.<init>(KrbAsRep.java:96)
at sun.security.krb5.KrbAsReq.getReply(KrbAsReq.java:449)
at sun.security.krb5.Credentials.sendASRequest(Credentials.java:410)
at sun.security.krb5.Credentials.acquireTGT(Credentials.java:378)
at com.sun.security.auth.module.Krb5LoginModule.attemptAuthentication(Krb5LoginModule.java:662)
... 23 more
4

3 に答える 3

4

Kerberosレルムが一致しなかった場合、「メッセージストリームが変更されました(41)」という例外が発生しました。レルム(システムプロパティ内java.security.krb5.realm)は、大文字/小文字を含めて正確に一致する必要があります。

于 2012-03-02T12:37:47.500 に答える
2

これが可能かどうか疑問に思っています(つまり、レジストリキーが設定されていても、ローカル管理者に対してロックアウトされています)。

http://cr.openjdk.java.net/~weijun/special/krb5winguide-2/raw_files/new/kwin

既知の問題点

ADアカウントがクライアントPCのローカル管理者グループにも追加されている場合、Microsoftは、そのようなクライアントがチケットのセッションキーを取得することを制限します(allowtgtsessionkeyレジストリキーを1に設定した場合でも)。回避策は次のとおりです。ログインしているユーザーであることを忘れて、kinit.exeを呼び出します。LSAクレデンシャルキャッシュに依存しないでください。

于 2011-07-19T07:06:00.750 に答える
0

その問題は確認できません。私は自分のマシンの管理者権限を持っていますが、LSAからセッションキーを取得できます。JGSSとKrb5LoginModuleで完全なデバッグ出力を有効にする必要があります。krb5.iniとlogin.confも共有します。クライアントがローカルホストのチケットを取得できないため、上記の例が機能しないことをご承知おきください。ActiveDirectoryに適切なSPNが設定されたFQDNである必要があります。

于 2011-07-20T09:07:01.243 に答える