問題タブ [jgss]

http://java.sun.com/developer/technicalArticles/J2SE/security/#3から：

注：MS Windowsなど、この機能をまだサポートしていないオペレーティングシステムでアプリケーションを実行する場合、これら2つのシステムプロパティは無視されます。

その文書は2006年のものであるため、状況は変わった可能性がありますが、明確な答えは見つかりませんでした。

Windows用のSunJava6の最新リリースが今日ネイティブGSSをサポートしているかどうかを知りたいです（レジストリをいじることなくTGTを取得するため）。

solarisと の両方で実行する Java アプリケーションが必要windows machinesですkerberized。に格納されている資格情報キャッシュの場所を指定することにより、JGSSにログインしているユーザーに対応する Princiapl を取得するために使用します。ウィンドウはファイルのように詳細を保存しないため、を使用したくないため、からこれらの詳細を取得する一般的な方法はあり ますか? これらの詳細について言及し、取得するために多くの参考文献を目にします。SolarisKRB5CCNAMEsolarisNTSystemlogged-in user's namejava programJSSESSPI

誰か助けてくれませんか？

私のライブラリは、android.jar に含まれていない org.ietf.jgss パッケージに依存しています。

javax.naming パッケージ用の jndi.jar を追加しましたが (これも Android にありません)、org.ietf.jgss 用の jar が見つかりませんでした。

http://code.google.com/p/dalvik/wiki/JavaxPackagesの指示に従って、rt.jar(JDK1.5) から jar を再パッケージ化しました。

しかし、再パッケージ化された jar のファイル サイズは非常に大きく (14 MB)、欠落している API を処理する唯一の方法であるかどうかはわかりません。

一般的な JDK に含まれていないパッケージが多数あります。欠落している各 API を処理する方法を説明するドキュメントはありますか。

どんな助けでも大歓迎です。

どうもありがとう。

Kerberos プリンシパルにはいくつかの種類があります。通常のユーザー プリンパルのようなものmichael-o@COMPANY.COMはKRB_NT_PRINCIPAL. しかし、のようなサービスはHTTP/host.company.com@COMPANY.COMどうでしょうか? のようないくつかの可能なタイプがありますKRB_NT_SRV_{INST|HST|XHST}。正しいものは何ですか？

私の理解INSTでは、TGTのみが対象です。正解は だと思いますHST。Oracle の JDK ソース コードで手がかりを見つけることができませんでしたが、これらの 2 つの矛盾する点は1対2です。

ActiveDirectoryクライアントとサービスでGSSAPIを使用してサンプルの資格情報委任プログラムを試しています。を使用するcontext.requestCredDeleg(true)と、チェックするcontext.getCredDelegState()と、コンテキストが確立される前にクライアント側でtrueが返されます。しかし、コンテキストの確立後、中間サーバー側で資格情報の委任状態を確認すると、falseが返されます。

ユーザーに「このユーザーを任意のサービスへの委任のために信頼する（Kerberosのみ）」を設定しました。また、[アカウントは機密情報であり、委任できません]フィールドは、ActiveDirectory管理センターのユーザーのプロパティでオフになっています。同じことがサービスユーザープロパティにも適用されています。Kerberosドメインの一部である同じコンピューターでクライアントとサーバーの両方を実行しています。そのコンピューターのプロパティについても、ActiveDirectory管理センターで委任が許可されています。

以下を参照として使用しました：クライアントサーバープログラムソース：http ：//docs.oracle.com/javase/1.4.2/docs/guide/security/jgss/tutorials/BasicClientServer.html

クレデンシャル委任ドキュメント：http ：//docs.oracle.com/javase/1.4.2/docs/guide/security/jgss/tutorials/MoreToDo.html#DelCr

サンプルのクライアントサーバーは正常に動作していますが、クレデンシャルの委任を実行できないのは私だけです。

http://spnego.sourceforge.net/spnego_tomcat.htmlチュートリアルを使用して、Tomcat を設定して spnego を使用しようとしています。

Hello_KDC.java が動作し、認証できました。また、間違ったパスワードを使用するとエラー例外が発生するため、機能しています。

しかし、Tomcat でそのチュートリアルを使用しようとすると、壊れてしまいます。Tomcat ROOT/index.jsp が空白になり、監視すると 404 が返されます。log\host-manager.2013-02-22.log には次の内容があります。

これは、ブラウザからページが読み込まれる前に、Tomcat の起動時に発生します。ページを読み込もうとすると、ログが追加されません。

krb5.conf で、ホスト名と IP の両方を試しましたが、同じエラーが発生しました。krb5.conf と login.conf が配置されています。これらを削除すると、次のログが取得されるためです。

何が起こっているのでしょうか？

Request is a replay (34)例外を回避するために、Kerberos ( JGSS ) でのコンテキスト確立中にリプレイ キャッシュを無効にしたいと考えています。JGSS はイニシエータ側で呼び出されるメソッド requestReplayDet() を提供しますが、これはコンテキスト確立後に渡されたトークンのリプレイを検出するためにのみ機能します (コンテキスト確立中ではありません)。

CGSS には、none に設定できる環境変数 KRB5RCACHENAME がありますが、Java GSS では機能しません。

(編集) Java 8 で追加されたサポート: https://docs.oracle.com/javase/8/docs/technotes/guides/security/enhancements-8.html -> "-Dsun.security.krb5.rcache=none"

複数のサーバー スレッドで複数のキータブを使用したいと考えています。JAAS conf ファイルを使用したくないので、LoginConfiguration クラスに独自のログイン構成を実装しました。KerberosLogin クラスの getGSSCredentials() 関数を使用して、キータブの場所をパラメーターとして指定することで資格情報を取得します。

KerberosLogin -> http://ideone.com/vaip3H LoginConfiguration -> http://ideone.com/jDqlN0

2 つのサーバー スレッドのみを実行したとき、最初の 1 つはそのキータブから資格情報を取得できました (両方のサーバー スレッドは異なるサービス プリンシパルを使用します) が、2 番目のスレッドは失敗しました。どういうわけかparms.put("refreshKrb5Config","true");LoginConfigurationで使用すると問題が解決しました。

構成を更新しないと機能しない理由を理解できません。そのようなサーバースレッドが複数ある場合は、安全に使用できます。複数のキータブを使用するより良い方法はありますか?

gss-api を呼び出して、クライアントとサーバー間のセキュリティ通信を実装する簡単なプログラムを作成したいと考えています。私はこのように試みます：

しかし、GSSCredential を作成したときに GSSException が発生しました。

誰も理由を知っていますか？