問題タブ [gssapi]

Cygwin を使用して、Kerberos チケットでホストに ssh できないのはなぜですか? これが私の設定です：

これが私がsshの試みで得たものです：

gssapi-with-mic auth メソッドを試すことができないようです。これはなぜですか? krb5.conf ファイルで何を指定する必要がありますか? ありがとう

Oracle JDK を使用する場合、「org.ietf.jgss.GSSCredential」を取得し、クラス「com.sun.security.jgss.GSSUtil.class」を使用してこれからサブジェクトを作成できます。

私が探しているのは、IBM JDK を使用して同等のものを実現する方法です。

Oracle JDK では、取得されたサブジェクトは継続的なアウトバウンド接続の Subject.doAs 呼び出しで使用されますが、GSSCredential を使用可能なサブジェクトに変換できないため、IBM ではこれを実現できません。

次の IBM チケットを見たことがありますが、言及されている SPI クラスがこれをどのように提供するかわかりません 。

gss-api/kerberos を使用してトラフィック認証を行うプログラムを作成したいと考えています。これまでのところ、SSOS に連絡してサービス チケットを取得できます。ユーザーが TGT を持っていない場合、コードで kinit と同様のことをしています。

私のコードは、キャッシュに TGT とサービス チケットの両方を持つユーザーで終了します。次のメソッドは、サーバーから送信されたトークンを読み取ります。

現在、outputBuffer は空です。つまり、私自身は何も渡していません。私はすべきですか？

別のサーバー (サービス) に連絡して、チケットをチェックしてもらい、有効な場合は彼を介してトラフィックを送信できるようにしたいと考えています。

GSSAPI を使用して、そのようなことを検証するにはどうすればよいですか? ラップ/アンラップなどの方法を認識しています。サービス セッション キーはクライアントのどこに保存されますか? サービスサーバーでチケットを受け取った後、どうすればそれを検証できますか?

いくつかの概念を混同していたら申し訳ありませんが、これほど複雑な API を扱うのは初めてです。

前もって感謝します...

Kerberos を使用した SASL 認証で openLDAP をセットアップしています。この認証に問題がありました。

まず、kinit で kerberos チケットを取得します。klist を作成すると、チケットが表示されます。だから、問題ありません。しかし、ldapwhoamiを作ろうとすると. エラーが発生しました：

もうどこを探せばいいのかわからない。私を助けてください。

Apache 2.2.15-30 (CentOs 6.5) で Kerberos 認証をセットアップしようとしていますが、デバッグまたは解決できない問題に直面しています。KDC ログで TGS 要求を確認でき、Firefox は正しい Authorization: Negotiate ヘッダーを送信しますが、Apache で問題が発生し、HTTP 500 を取得しています。

krb5kdc.log

アパッチのエラーログ

HTTP ダンプ

kdc.conf

/etc/krb5.conf

auth_kerb.conf

klist -e -k /etc/httpd/conf/http.keytabb

問題が何であるかを知っている人はいますか？コメントをいただければ幸いです。

ありがとう、マーティン

私はkerberosでJava GSS-APIを使用しています。次のようなホスト名を使用すると、正常に動作します。

ldapUrl = ldap://myhost.mydomain.net

しかし、私が好きなとき：

エラーが生成されます: サーバーが Kerberos データベースに見つかりません。しかし、mydomain.net はホストのプールを提供するドメイン エイリアスです。プールから別のホストを選択して使用する場合は動作しますが、エイリアスを使用する場合は動作しません。理由は？