我尝试测试我的ms-域应用程序。
应用服务器已成功部署。 kerberos和用户名/密码都可以很好地进行身份验证。
但是,当我使用由ktpass客户端密钥表生成的“ KerberosRestTemplate”添加“ test”(出于某种原因而成为控制器)时,则会引发“ SunJaasKerberosTicketValidator”异常:
“ java.security.PrivilegedActionException:GSSException:在GSS-API级别未指定失败(机制级别:密钥的指定版本不可用(44))”。
我建议原因是ktpass生成的keytab文件被破坏了。
这就是我生成它的方式:
“ C:> ktpass / princ [email protected] / pass Qw1er2ty3 / ptype KRB5_NT_PRINCIPAL / out deniz.keytab
*NOTE: creating a keytab but not mapping principal to any user.
For the account to work within a Windows domain, the
principal must be mapped to an account, either at the
domain level (with /mapuser) or locally (using ksetup)
If you intend to map [email protected] to an account through other means
or don't need to map the user, this message can safely be ignored.
WARNING: pType and account type do not match. This might cause problems.
Key created.
Output keytab to deniz.keytab:
Keytab version: 0x502
keysize 52 [email protected] ptype 1 (KRB5_NT_PRINCIPAL) vno 1 etype 0x17 (RC4-HMAC) keylength 16 (0xa0eb0b1e09b8c36edc
2da4762c53283f)*"
以防万一我将示例保存在我的github上:https://github.com/mezlogo/kerberos_sample
我认为keytab我的keytab坏了,但是找不到如何为客户端使用生成它(没有HTTP / username @ DOMAIN)。
P.s.对不起我的英语不好。
最佳答案
每当您运行ktpass时,AD都会将存储在AD中的版本号递增1。因此,在运行ktpass之前,您需要查看实际值并使用/ kvno选项(https://technet.microsoft.com/en-us/library/cc753771.aspx)指定将此值递增1,以便密钥版本AD中存储的数字与keytab文件中的数字相同。