問題タブ [keytab]

ログイン時にKDCからAFSトークンとKerberosTGTを取得するためのpGinaプラグインを書いていますが、キーボードからの入力がない限り入力を提供できないというkinitの「機能」に気づきました。標準入力をリダイレクトするだけです...

誰かがプリンシパルにkeytabファイルを使用することを提案しましたが、これは非常に簡単に思えましたが、Linuxでkutilしか使用しておらず、Windowsバージョンのktpass.exeで問題が発生していることに気づきました。キータブを作成するために多数の引数の組み合わせを繰り返し試しましたが、これまでのところまったく成功していません。現在発行しているコマンドは次のとおりです。

ktpass /out key.tab /mapuser user$@MERP.EDU /princ user.merp.edu@MERP.EDU /crypto RC4-HMAC-NT /ptype KRB5_NT_PRINCIPAL /pass mahpasswordlol /target MERP.EDU

残念ながら、この出力はすべて

Using legacy password setting method

FAIL: ldap_bind_s failed: 0x31

私の調査によると、認証/暗号の問題はどれですか？他のDES設定で試しましたが、これも機能しないようです...これがどのように機能するかについての経験/アイデアはありますか？

春のセキュリティを使用して SPNEGO で kerberos 認証を実装しました。私のコンピューターではすべて正常に動作します。

私のコンピューターで動作する正確なキータブ ファイルと krb5 構成を使用し、テスト環境に配置しました。どちらの環境も tomcat 6 を使用しており、正確なバージョンの jdk をインストールしました。

ただし、テスト環境では次のようになります。

テストマシンでこの投稿に従ってキータブファイルをテストしましたが、すべて問題ないようです。

私のマシン - Windows 7 Pro テスト マシン - Windows Server 2008 R2

キータブがあるマシンでは有効で、他のマシンでは有効ではない明らかな理由はありますか?

私の次のステップはキータブを再生成することですが、それはただのブードゥー教であり、私はブードゥー教が好きではありません。

ありがとう、リオール

編集：

KRB5ModuleLogin を直接使用していません。私はkerberos extensionで春のセキュリティを使用しています。

舞台裏では明らかにモジュールを使用していますが、どのように構成できるかわかりません (おそらく krb5.conf ファイルを介して)。

関連する春の構成は次のとおりです。

また、GlobalSunJaasKerberosConfig に挿入される krb5.conf は次のとおりです。

編集2

テスト サーバーにデバッグし、自分のコンピューターと比較しました。

これは、私の dev のログイン コンテキストからのデバッグ情報です (動作します)。

これは、テスト サーバーでログインが行われたときのデバッグ情報です。

ご覧のとおり、まったく同じです (keytab ファイルの場所を除いて、しかし、私が言ったように、keytab ファイルは同じです) もう 1 つの違いは、dev が enc_type 18 をサポートしているのに対し、テストはサポートしていないことですが、これは無関係のようです、キー タイプが 23 (RC4-HMAC-NT) であり、両方がサポートされているためです。

では、ユーザーがログインしようとしたときに、テスト マシンがキータブ ファイルを拒否するのはなぜでしょうか。

認証にキータブを使用することについていくつか質問があります。

たとえば、ポート 1010 で実行されているサービスを使用する userA がいるとします。最初に、userA は Active Directory にログインして自分自身を認証します。

ログイン後、userA はサーバーに接続してサービス 1010 を使用しようとします。サーバーが UserA が誰であるかを確認するには、setspnSPN を Active Directory に登録する必要があります。例えば

次に、Active Directory で ktab ファイルを生成する必要があります。

そしてmykeytab.keytab、サーバーに持ってきます。

サーバーでは、ログイン構成でJAASを使用してKDCを照会します。

この時点から、私は混乱しています。userA はどのように確認されますか (つまり、userA は実際に誰なのか?)。

kinit と keytab ファイルの使用について理解を深めたい。たとえば、サービス用に生成された keytab ファイルが既にある場合 ( to によって Active Directory に登録されたktpass -mapuserサービスsomeuseraccount)

というユーザーUSERAが Windows にログインし、このキータブを kinit の入力パラメーターとして使用すると、内部で実際に何が起こるのでしょうか?

は、 または現在ログインしている のkinit初期クレデンシャルを生成しますか?someprincipalUSERA

私のこの混乱を解消していただければ幸いです。ありがとう

チケットを更新するために、毎日 (1 回だけ) 実行するようにスケジュールされているキータブがあります。しかし、キータブ自体に寿命があるかどうかを知りたかったのですか? cron ジョブは毎日実行するように構成されているため、更新する代わりに新しいチケットを作成すると思いますか?

1つのドメインにw2k8とIIS7を備えたサーバーと、他の外部ドメインからのキータブがあります（信頼なし）。Windows 認証 (SPNEGO/Kerberos) を有効にして、これらの外部ドメインから Web アプリケーションのユーザーを認証することはできますか?

kerberos クレデンシャルの有効期限をテストするために無限ループを実行しています。次のコードがあります。

kerberos 資格情報は、プログラムの開始後約 10 時間で期限切れになると予想しています (keytab を使用する Linux シェルの kinit では、この環境で約 10 時間後に再ログインが必要です)。

ただし、約10時間後にログに表示されるのは次のとおりです。

15/03/06 12:39:54 DEBUG org.apache.hadoop.security.UserGroupInformation: PrivilegedAction as: *(auth:KERBEROS) from:org.apache.hadoop.hbase.ipc.RpcClient$Connection.handleSaslConnectionFailure(RpcClient. java:796) 15/03/06 12:39:54 DEBUG org.apache.hadoop.security.UserGroupInformation: ログアウトの開始 * 15/03/06 12:39:54 DEBUG org.apache.hadoop.security.UserGroupInformation: hadoop logout 15/03/06 12:39:54 DEBUG org.apache.hadoop.security.UserGroupInformation: Initiating re-login for *** 15/03/06 12:39:55 DEBUG org.apache.hadoop.security. UserGroupInformation: Hadoop ログイン

checkTGTAndReloginFromKeytab() メソッドが呼び出されました。このメソッドがどのように呼び出されたのかわかりません。これにより、プログラムを永続的に実行できます。これは仕様によるもので、再ログインは何をしますか?