MIT Kerberos 故障排除

最新推荐文章于 2024-05-02 22:08:13 发布
最新推荐文章于 2024-05-02 22:08:13 发布
阅读量2.2k 收藏 2
点赞数
分类专栏: Kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/java_spring1105/article/details/104531323
版权

1. 日志记录

 

大多数使用MIT krb5 1.9或更高版本可以使用跟踪日志记录提供有关内部krb5库操作的信息。要启用此功能,可以在运行程序之前将KRB5_TRACE环境变量设置为文件名。在大多数操作系统上,文件名/ dev / stdout可用于将跟踪日志记录输出发送到标准输出上。

如下示例,显示了调用kvno命令的跟踪日志记录输出:

 

shell% env KRB5_TRACE=/dev/stdout kvno krbtgt/KRBTEST.COM
[9138] 1332348778.823276: Getting credentials user@KRBTEST.COM ->
    krbtgt/KRBTEST.COM@KRBTEST.COM using ccache
    FILE:/me/krb5/build/testdir/ccache
[9138] 1332348778.823381: Retrieving user@KRBTEST.COM ->
    krbtgt/KRBTEST.COM@KRBTEST.COM from
    FILE:/me/krb5/build/testdir/ccache with result: 0/Unknown code 0
krbtgt/KRBTEST.COM@KRBTEST.COM: kvno = 1

 

2. Java Kerberos / KRB5和SPNEGO调试系统属性

调试Kerberos的Java类,可以打开调试日志记录的系统属性。 这些属性可以进行有意义的调试。

第一个属性可以处理Kerberos错误,可以帮助解决配置错误的KDC服务器,krb5.conf问题以及其他问题。

-Dsun.security.krb5.debug=true

 

第二个属性专门用于Kerberos安全Web端点的SPNEGO调试。

-Dsun.security.spnego.debug=true

 

可以使用Apache Hadoop和相关组件的* _OPTS变量设置这些属性,如下例所示:

HADOOP_OPTS =“ - Dsun.security.krb5.debug = true”

 

当打开sun.security.krb5.debug=true时,示例debug 信息如下所示(只打印出一部分):

 

Debug is  true storeKey false useTicketCache false useKeyTab false doNotPrompt false ticketCache is null isInitiator true KeyTab is null refreshKrb5Config is false principal is null tryFirstPass is false useFirstPass is false storePass is false clearPass is false
[Krb5LoginModule] user entered username: xyang@DV.CN
Java config name: null
Native config name: C:\Windows\krb5.ini
Loaded from native config
>>> KdcAccessibility: reset
default etypes for default_tkt_enctypes: 23 16 3 1 23 3.
>>> KrbAsReq creating message
>>> KrbKdcReq send: kdc=10.97.219.8 TCP:88, timeout=30000, number of retries =3, #bytes=135
>>> KDCCommunication: kdc=10.97.219.8 TCP:88, timeout=30000,Attempt =1, #bytes=135
>>>DEBUG: TCPClient reading 627 bytes
>>> KrbKdcReq send: #bytes read=627
>>> KdcAccessibility: remove 10.97.219.8
>>> EType: sun.security.krb5.internal.crypto.ArcFourHmacEType
>>> KrbAsRep cons in KrbAsReq.getReply xyang

 

3. 常见Kerberos 错误

 

KDC has no support for encryption type while getting initial credentials
credential verification failed: KDC has no support for encryption type

 

这种情况通常发生在尝试使用仅具有DES密钥的Principal时,在默认情况下禁用DES的版本(MIT krb5 1.7或更高版本)中, DES加密被认为是弱加密的。 如果无法从其使用中移除,可以通过将allow_weak_crypto = true添加到krb5.conf的[libdefaults]部分来重新启用DES。

Cannot create cert chain: certificate has expired

 

此错误消息表示PKINIT身份验证失败,表明客户端证书,KDC证书或其上方签名链中的某个证书已过期。

如果KDC证书已过期,则此消息将显示在KDC日志文件中,并且客户端将收到“Preauthentication failed”错误。 (在1.11版之前,KDC日志文件消息错误地显示为“Out of memory”。在1.12版之前,客户端将收到“Generic error”。)

kprop: No route to host while connecting to server

 

确保Slave KDC的主机名(如kprop所示)是正确的,并且Master KDC和Slave KDC之间的任何防火墙都允许在端口754上建立连接。

kprop: Server rejected authentication (during sendauth exchange) while authenticating to server

 

确保如下:

主从KDC之间的时间是同步的;

Master KDC 的 Stash文件已从主服务器复制到从服务器上的指定位置;

Slave KDC的默认keytab文件中,包含slave的主机名的Host Principal。

 

如需了解更多的关于Kerberos 配置的信息,请访问  Kerberos 实践课程 和 调试课程系列(https://ke.qq.com/course/394424?tuin=9239b190)

java_spring1105
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java module 验证,Java Kerberos身份验证似乎有效,但仍被拒绝
weixin_42356073的博客
02-24 1284
I've got a Java client app and a Java server app, and I'm trying to authenticate to the server via Kerberos. The client basically uses http-components and SPNEGO to make a HTTP GET call, but I always ...
java kerberos tgt_Java无法从Linux客户端的缓存中获取TGT
weixin_34379088的博客
02-23 875
我在RHEL5.5中设置了Kerberos服务器和OpenLDAP.我还有一台RHEL6机器作为客户端.我使用jaas运行我的Java程序,从Linux客户端查询OpenLDAP服务器.如果我将客户端的密钥表复制到客户端计算机并使用以下配置选项,我可以查询OpenLDAP服务器:principal=wpingliuseKeyTab=truekeyTab="/home/wpingli/ker/jav...
Kerberos Ticket Renewer无法启动-----解决方法
weixin_36242590的博客
09-21 2708
报错信息如下图: 解决思路:这是因为TGT的ticket    krbtgt/EXAMPLE.COM@EXAMPLE.COM的renewlife被设置成了0,这一点可以通过 #kadmin.local #getprinc krbtgt/EXAMPLE.COM@EXAMPLE.COM看出来。   解决方法:将krbtgt/EXAMPLE.COM@EXAMPLE.COM的ren
kerberos:介绍
玉汝于成
04-19 2315
Kerberos是一种计算机网络授权协议,主要用于在非安全网络环境中对个人通信进行安全的身份认证。这个协议由麻省理工学院(MIT)开发,作为Athena项目的一部分,首次发布于1988年。Kerberos协议目前已经从v1发展到v5,其中v5在1993年被确定为标准的Kerberos协议(RFC1510)。Kerberos协议设计思想的核心是引入一个可信任的第三方来实现客户端和服务端的认证。在Kerberos中,这个可信任的第三方被称为密钥分发中心(KDC)。
fatal: Authentication failed for解决方法
热门推荐
爱死亡机器人
04-20 3万+
1.如果push遇到在输入密码是熟错后,就会报这个错误fatal: Authentication failed for 解决办法: git config --system --unset credential.helper 之后你在push就会提示输入名称和密码 免输入用户密码方法: git config --global credential.helper store 此时,会在你本地生成一...
MIT Kerberos客户端(windows)启动无反应,重装无效问题解决
qq_18453581的博客
07-20 273
MIT Kerberos客户端突然无法启动,重装软件无效,诊断启动无效,管理员权限启动无效找一台电脑,安装,什么都不配置,启动正常~
MIT Kerberos for Windows Installer
11-11
麻省理工的Kerberos安装包.Kerberos是一个重要的认证协议,它为互不相识的通信双方做安全的认证工作。Kerberos这个名字的原义是希腊神话中守卫冥王大门的长有三头的看门狗。
Kerberos V5 Installation Guide
01-04
Kerberos V5 Installation Guide 英文版,该书对kerberos的原理与安装有比较详细的介绍。
kerberos安装包
01-01
安装kerberos5时需要的rpm包,版本1.15.1-37.el7_6.x86_64。里面4个文件:krb5-libs-1.15.1-37.el7_6.x86_64.rpm;krb5-server-1.15.1-37.el7_6.x86_64.rpm;krb5-workstation-1.15.1-37.el7_6.x86_64.rpm;libkadm5...
三步轻松理解Kerberos协议
06-19
Kerberos协议是一种广泛应用于企业环境的身份验证协议,特别是在Active Directory (AD)域环境中,它为客户端和服务器应用提供了安全的认证服务。该协议的核心在于使用对称加密技术,确保了用户身份的安全验证,防止...
kerberos-android-ndk:使用交叉编译的MIT Kerberos库和wolfSSL嵌入式SSL库的示例Android Kerberos应用程序
05-20
这是一个示例Android NDK应用程序,提供了围绕MIT Kerberos kinit,klist,kvno和kdestroy客户端应用程序的GUI包装。 它还提供了一个使用Java GSS-API接口的示例客户端。 GSS-API接口是现有本机MIT GSS-API库的Java...
常见的 Kerberos 错误消息
zy531的专栏
01-31 1万+
http://docs.oracle.com/cd/E19253-01/819-7061/trouble-6/index.html 列出了 Kerberos 命令、Kerberos 守护进程、PAM 框架、GSS 接口、NFS 服务和 Kerberos 库的常见错误消息 All authentication systems disabled; connection refused
为hdfs配置kerberos
weixin_34082854的博客
10-26 1235
为什么80%的码农都做不了架构师?>>> ...
Github Authentication failed(身份验证失败)解决方法 | GitHub Desktop如何退出
我是菜鸡
02-12 3万+
  昨晚心血来潮改了个git的用户名,改完之后今早晨发现桌面客户端就出问题了。提示以下问题。 Authentication failed. You may not have permission to access the repository or the repository may have been archived. Open options and verify that yo...
基于JAVA实现的WEB端UI自动化 - WebDriver框架篇 - ant使用 - ant调用email 自动发送邮件
最新发布
2401_84002271的博客
05-02 981
即使是面试跳槽,那也是一个学习的过程。只有全面的复习,才能让我们更好的充实自己,武装自己,为自己的面试之路不再坎坷!今天就给大家分享一个Github上全面的Java面试题大全,就是这份面试大全助我拿下大厂Offer,月薪提至30K!我也是第一时间分享出来给大家,希望可以帮助大家都能去往自己心仪的大厂!为金三银四做准备!
Clock skew too great(37)-PREAUTH_FAILED
生如夏花之灿烂
04-17 1万+
在服务器上启动服务时,日志报如下错误:Clock skew too great(37)-PREAUTH_FAILED,貌似是时间不对导致的华为云权限验证失败,比较服务所在服务器的时间和zk服务所在服务器时间,差了5分钟左右。 使用date -s 14:00:00 命令修改服务器时间和zk服务器时间保持一致,再使用命令hwclock -w将修改写入BIOS,防止重启服务器导致修改失效,再次启动服务...
[Kerberos基础]-- kdc集群主从搭建(kerberos相关)
欢迎来到我的博客,一起探索代码里的世界!
03-02 1万+
主机规划 10.10.100.94   master 10.10.100.93   slave 10.10.100.92   client   (一)环境:  名称            版本         CentOS        CentOS release 6.7(Final)        Kerberos        krb5-server-1.10.3-57.e...
Kerberos常见错误及解决方案
shkstart的博客
08-31 1万+
1、 Kerberos启动后台日志提示异常:No such file or directory – while initializing database for realm HADOOP.COM 在/var/log/krb5kdc.log中发现No such file or directory – while initializing database for realm HADOOP.COM。 解决方案: ①: 检查kdc.conf和krb5.conf文件是否配置正确,修改配置,注意:配置文件的[kdc
ubuntu 22.04 安装 MIT kerberos
09-11
安装MIT Kerberos在Ubuntu 22.04上,可以按照以下步骤进行操作: 1. 首先,确保你的系统已经正确连接到Samba4 AD域,并已经完成了与域的初始配置 。 2. 打开终端并使用以下命令安装MIT Kerberos软件包: ``` $ sudo apt-get install krb5-user ``` 3. 在安装过程中,你需要输入Kerberos Realm和Kerberos服务器的详细信息。根据你的实际情况进行配置。 4. 安装完成后,编辑Kerberos配置文件`/etc/krb5.conf`,添加你的Kerberos Realm和Kerberos服务器的配置信息。例如: ``` [libdefaults] default_realm = YOUR.REALM [realms] YOUR.REALM = { kdc = your_kdc_server admin_server = your_admin_server } ``` 请根据你的环境进行相应的修改。 5. 保存并关闭配置文件。 现在,你的Ubuntu 22.04系统已经安装了MIT Kerberos,并配置了与你的AD域的连接。你可以使用Kerberos身份验证机制来访问受保护的资源和服务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值