java pass can not be_java – 校验和失败:Kerberos / Spring / Active Directory(2008)

最新推荐文章于 2024-08-12 23:15:00 发布
最新推荐文章于 2024-08-12 23:15:00 发布
阅读量554 收藏
点赞数
文章标签: java pass can not be
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33791488/article/details/114202758
版权

问题似乎在关键表中.有一些动作序列导致某些特定的keytab文件状态:

(A)keytab适用于Java但不适用于k5start / kinit;

(B)keytab不适用于Java,但适用于k5start / kinit;

(C)keytab适用于它们.

简短的Java代码,允许检查Java是否可以使用keytab文件进行身份验证:

import java.io.File;

import java.io.FileInputStream;

import java.io.InputStream;

import java.util.HashMap;

import java.util.Map;

import java.util.Properties;

import javax.security.auth.Subject;

import com.sun.security.auth.module.Krb5LoginModule;

/**

* This is simple Java program that tests ability to authenticate

* with Kerberos using the JDK implementation.

*

* The program uses no libraries but JDK itself.

*/

public class Krb {

private void loginImpl(final String propertiesFileName) throws Exception {

System.out.println("NB: system property to specify the krb5 config: [java.security.krb5.conf]");

//System.setProperty("java.security.krb5.conf", "/etc/krb5.conf");

System.out.println(System.getProperty("java.version"));

System.setProperty("sun.security.krb5.debug", "true");

final Subject subject = new Subject();

final Krb5LoginModule krb5LoginModule = new Krb5LoginModule();

final Map optionMap = new HashMap();

if (propertiesFileName == null) {

//optionMap.put("ticketCache", "/tmp/krb5cc_1000");

optionMap.put("keyTab", "/etc/krb5.keytab");

optionMap.put("principal", "foo"); // default realm

optionMap.put("doNotPrompt", "true");

optionMap.put("refreshKrb5Config", "true");

optionMap.put("useTicketCache", "true");

optionMap.put("renewTGT", "true");

optionMap.put("useKeyTab", "true");

optionMap.put("storeKey", "true");

optionMap.put("isInitiator", "true");

} else {

File f = new File(propertiesFileName);

System.out.println("======= loading property file ["+f.getAbsolutePath()+"]");

Properties p = new Properties();

InputStream is = new FileInputStream(f);

try {

p.load(is);

} finally {

is.close();

}

optionMap.putAll((Map)p);

}

optionMap.put("debug", "true"); // switch on debug of the Java implementation

krb5LoginModule.initialize(subject, null, new HashMap(), optionMap);

boolean loginOk = krb5LoginModule.login();

System.out.println("======= login: " + loginOk);

boolean commitOk = krb5LoginModule.commit();

System.out.println("======= commit: " + commitOk);

System.out.println("======= Subject: " + subject);

}

public static void main(String[] args) throws Exception {

System.out.println("A property file with the login context can be specified as the 1st and the only paramater.");

final Krb krb = new Krb();

krb.loginImpl(args.length == 0 ? null : args[0]);

}

}

,以及要使用的属性文件:

#ticketCache=/tmp/krb5cc_1000

keyTab=/etc/krb5.keytab

principal=foo

doNotPrompt=true

refreshKrb5Config=true

useTicketCache=true

renewTGT=true

useKeyTab=true

storeKey=true

isInitiator=true

(下面我们假设krb / kdc已正确安装和配置,数据库是用kdb5_util创建的.每个命令序列的起始状态是:删除keytab文件,删除令牌缓存,从数据库中删除用户“foo”. )

以下操作序列将导致keytab状态(A):

$echo -e "foo\nfoo" | kadmin.local -q "addprinc foo"

$echo -e "foo\nfoo" | kadmin.local -q "ktadd foo"

$java -cp . Krb ./krb5.properties

# Now java auth okay, but the following command fails:

$k5start foo

Kerberos initialization for foo@EXAMPLE.COM

Password for foo@EXAMPLE.COM:

k5start: error getting credentials: Decrypt integrity check failed

$

以下操作序列将导致keytab状态(B):

$echo -e "foo\nfoo" | kadmin.local -q "addprinc foo"

$echo -e "foo\nfoo" | kadmin.local -q "ktadd foo"

$echo -e "foo\nfoo" | kadmin.local -q "cpw foo"

$java -cp . Krb ./krb5.properties

A property file with the login context can be specified as the 1st and the only paramater.

NB: system property to specify the krb5 config: [java.security.krb5.conf]

1.6.0_33

======= loading property file [/tmp/krb-test/yhadoop-common/./krb5.properties]

Debug is true storeKey true useTicketCache true useKeyTab true doNotPrompt true ticketCache is null isInitiator true KeyTab is /etc/krb5.keytab refreshKrb5Config is true principal is foo tryFirstPass is false useFirstPass is false storePass is false clearPass is false

Refreshing Kerberos configuration

Config name: /etc/krb5.conf

>>> KdcAccessibility: reset

>>> KdcAccessibility: reset

Acquire TGT from Cache

>>>KinitOptions cache name is /tmp/krb5cc_0

Principal is foo@EXAMPLE.COM

null credentials from Ticket Cache

>>> KeyTabInputStream, readName(): EXAMPLE.COM

>>> KeyTabInputStream, readName(): foo

>>> KeyTab: load() entry length: 49; type: 23

Added key: 23version: 3

Ordering keys wrt default_tkt_enctypes list

default etypes for default_tkt_enctypes: 23.

0: EncryptionKey: keyType=23 kvno=3 keyValue (hex dump)=

0000: 5F 7F 9B 42 BB 02 51 81 32 05 1D 7B C0 9F 19 C0 _..B..Q.2.......

principal's key obtained from the keytab

Acquire TGT using AS Exchange

default etypes for default_tkt_enctypes: 23.

>>> KrbAsReq calling createMessage

>>> KrbAsReq in createMessage

>>> KrbKdcReq send: kdc=localhost UDP:88, timeout=30000, number of retries =3, #bytes=128

>>> KDCCommunication: kdc=localhost UDP:88, timeout=30000,Attempt =1, #bytes=128

>>> KrbKdcReq send: #bytes read=611

>>> KrbKdcReq send: #bytes read=611

>>> KdcAccessibility: remove localhost:88

>>> EType: sun.security.krb5.internal.crypto.ArcFourHmacEType

Checksum failed !

[Krb5LoginModule] authentication failed

Checksum failed

Exception in thread "main" javax.security.auth.login.LoginException: Checksum failed

at com.sun.security.auth.module.Krb5LoginModule.attemptAuthentication(Krb5LoginModule.java:696)

at com.sun.security.auth.module.Krb5LoginModule.login(Krb5LoginModule.java:542)

at Krb.loginImpl(Krb.java:65)

at Krb.main(Krb.java:77)

Caused by: KrbException: Checksum failed

at sun.security.krb5.internal.crypto.ArcFourHmacEType.decrypt(ArcFourHmacEType.java:85)

at sun.security.krb5.internal.crypto.ArcFourHmacEType.decrypt(ArcFourHmacEType.java:77)

at sun.security.krb5.EncryptedData.decrypt(EncryptedData.java:168)

at sun.security.krb5.KrbAsRep.(KrbAsRep.java:87)

at sun.security.krb5.KrbAsReq.getReply(KrbAsReq.java:446)

at sun.security.krb5.Credentials.sendASRequest(Credentials.java:401)

at sun.security.krb5.Credentials.acquireTGT(Credentials.java:350)

at com.sun.security.auth.module.Krb5LoginModule.attemptAuthentication(Krb5LoginModule.java:672)

... 3 more

Caused by: java.security.GeneralSecurityException: Checksum failed

at sun.security.krb5.internal.crypto.dk.ArcFourCrypto.decrypt(ArcFourCrypto.java:388)

at sun.security.krb5.internal.crypto.ArcFourHmac.decrypt(ArcFourHmac.java:74)

at sun.security.krb5.internal.crypto.ArcFourHmacEType.decrypt(ArcFourHmacEType.java:83)

... 10 more

$

但是“k5start foo”在这个状态下还可以,还有“kinit foo”.

并且以下动作序列导致状态(C):

$echo -e "foo\nfoo" | kadmin.local -q "addprinc foo"

$ktutil

ktutil: addent -password -p foo -k 1 -e rc4-hmac

Password for foo@EXAMPLE.COM:

ktutil: wkt /etc/krb5.keytab

ktutil: q

之后,k5start / kinit和java验证都给出了积极的结果.

环境:

yum list krb5-appl-servers krb5-libs krb5-server krb5-workstation kstart pam_krb5

...

Installed Packages

krb5-libs.x86_64 1.9-33.el6_3.3 @updates

krb5-server.x86_64 1.9-33.el6_3.3 @updates

krb5-workstation.x86_64 1.9-33.el6_3.3 @updates

kstart.x86_64 4.1-2.el6 @epel

...

$cat /etc/redhat-release

CentOS release 6.3 (Final)

$java -version

java version "1.6.0_33"

Java(TM) SE Runtime Environment (build 1.6.0_33-b03)

Java HotSpot(TM) 64-Bit Server VM (build 20.8-b03, mixed mode)

与Java 7相同的行为也是如此.在Ubuntu精确(12.04.1 LTS)上观察到相同的行为,MIT的kerberos 5-1.10.3从源分布编译.

倩rose
关注
Hive/Spark/Yarn: User Not Found 错误和 Kerberos / AD / OpenLDAP 之间的关系与解释
Laurence的技术博客
07-31 1471
有时候,当你向Spark或Hive提交作业时,可能会遇到User not found错误,类似的问题大多发生在启动了Kerberos的Hadoop集群上,或者集群集成了Windows AD或OpenLDAP后。本文,我们把这个问题梳理清楚并给出解决方法。
Kerberos 认证过程中超时的问题记录
weixin_40925318的博客
10-19 4310
Kerberos 认证过程中超时的问题记录com.sun.security.auth.module.Krb5LoginModule.attemptAuthentication(Krb5LoginModule.java:776参考的方法解决 在跑一个扫描hive表的任务的时候,经常2个多小时任务就失败了,报错如下: Caused by: javax.security.auth.login.LoginException: connect timed out at com.sun.security.auth.m
Kerberos认证的kafka常见错误记录
Aspirin's Nest
10-14 1万+
前言 发现网上与kerberos有关报错信息少之又少,踩过的坑放在这里,希望可以帮到后来人。 报错信息总结 1. principal和keytab不匹配,这种问题,只需要在jaas文件中指定正确的账号密码即可 Caused by: javax.security.auth.login.LoginException: Could not login: the client is being ...
已解决:`java.security.GeneralSecurityException: 安全性相关的通用异常`
最新发布
屿小夏.的知识博客
08-12 525
是一个常见的通用异常。这个异常通常与加密、解密、数字签名、密钥管理等安全性相关的操作密切相关。本文将详细探讨这一异常的背景、可能的原因、错误和正确的代码示例,并提出一些在编写代码时需要注意的事项。在实现过程中,可能会因为使用错误的密钥或算法而引发。是一个通用的安全性异常,通常作为其他安全性异常的父类被抛出。,确保您的安全性相关代码更加健壮和可靠。希望本文能够帮助您理解并解决这一常见的报错问题。,我们需要确保使用正确的算法、密钥和其他安全性配置。在这个示例中,如果传入了不正确的加密算法或密钥格式,
Kafka安全模式之身份认证
weixin_42556307的博客
02-27 3247
SASL-PLAIN方式是一个经典的用户名/密码的认证方式,其中用户名和密码是以明文形式保存在服务端的JAAS配置文件中的,当客户端使用PLAIN模式进行认证时,密码是明文传输的,因此安全性较低,但好处是足够简单,方便我们对其进行二次开发,在0.10版本引入。在kafka身份认证的过程中,需要的principal,keytab,ServiceName等信息均配置在jaas文件中,因此保证认证的服务可以读取到正确的文件及正确的配置是kafka安全模式下认证的核心。解决办法是找第三方提供。
java调试Kerberos,输出登陆信息
gx304419380的博客
05-08 4857
在代码中添加: System.setProperty(“sun.security.krb5.debug”, “true”);
java kerberos tgt_Java无法从Linux客户端的缓存中获取TGT
weixin_34379088的博客
02-23 922
我在RHEL5.5中设置了Kerberos服务器和OpenLDAP.我还有一台RHEL6机器作为客户端.我使用jaas运行我的Java程序,从Linux客户端查询OpenLDAP服务器.如果我将客户端的密钥表复制到客户端计算机并使用以下配置选项,我可以查询OpenLDAP服务器:principal=wpingliuseKeyTab=truekeyTab="/home/wpingli/ker/jav...
sqljdbc_8.2.0.0_enu_sqljdbc_8.2.0.0_enu_https://8enu.com_ARMLinu
10-01
标题“sqljdbc_8.2.0.0_enu_sqljdbc_8.2.0.0_enu_https://8enu.com_ARMLinu”表明这是一个关于SQL ...正确地理解和使用这些资源对于任何需要在ARM架构的Linux系统上操作SQL Server的Java开发者来说都是至关重要的。
Tomcat SPNEGO/Active Directory Authnz:Tomcat SPNEGO / Kerberos身份验证器和Active Directory领域-开源
05-09
"Tomcat SPNEGO/Active Directory Authnz: Tomcat SPNEGO / Kerberos身份验证器和Active Directory领域-开源" 这个标题提到的是一个针对Apache Tomcat服务器的开源解决方案,它实现了SPNEGO(Simple and Protected ...
JAAS.rar_Action!_Jaas Kerber_jaas KERBEROS_kerberos Java_login.a
09-24
_Jaas_Kerber_jaas_KERBEROS_kerberos_Java_login.a"压缩包文件包含了关于如何在Java环境中使用JAAS实现Kerberos登录和委托的示例代码。Kerberos是一种广泛使用的网络身份验证协议,它提供了强大的安全性,通过一次...
java hdfs kerberos_浏览器访问Kerberos安全机制下的HDFS报错“nn_browsedfscontent.jsp. Reason: Security enabled but u...
weixin_34837971的博客
02-16 796
我在完成hdfs的Kerberos认证后,命令行访问HDFS可以成功。但是在浏览器中访问HDFS“http://master:50070/nn_browsedfscontent.jsp”,系统报错,报错信息如下:HTTP ERROR 500Problem accessing /nn_browsedfscontent.jsp. Reason:Security enabled but user not...
解决no supported default etypes for default_tkt_enctypes问题,jce_policy-8.zip下载
11-11
JAVA连接hive/hbase/sparksql/hdfs,kerbers认证失败 报no supported default etypes for default_tkt_enctypes ,需要更新jdk8的安全jar包,用来处理keytab文件,可以在oracle官网下,但是要注册账号,也可以下我的。
启用Kerberos后CDH集群的HiveServer2频繁意外退出故障解决附带CDH更新Principal keytab过程
weixin_42240930的博客
09-27 5869
HiveServer2 运行状况 不良 半小时自动退出一次 搜索hive的日志: find / -name  hive-log4j.properties 找到并打开后发现日志位置和名字: log.dir=/var/log/hive log.file=hadoop-cmf-hive-HIVESERVER2-cdh148.log.out 该日志内容过长,于是打开命令调整为: tail...
启用Kerberos的Hive操作失误解决
邢为栋
05-12 6868
启用了kerberos,需要使用hive主体权限进行授权,但是开始没找到hive主体的keytab,于是决定使用kadmin.local的ktadd命令为hive主体创建一个keytab,创建之后,可以通过keytab使用hive主体权限了,通过beeline连接hive,但是报错GSS initiate failed,突然心一凉,直觉告诉我,玩脱了。。。 查看hive服务,出现告警,查看metastore日志,报错如下: 2020-05-09 15:43:34,632 ERROR org.apache.t
kafka开kerberos认证报错the client is being asked for a password
鸣一的专栏
01-14 6812
在Kafka工程 且开 kerberos 时,遇到报错:Could not login: the client is being asked for a password, but the Kafka client code does not currently support obtaining a password from the user.
配置hive后启动trino报错KrbException: no supported default etypes for default_tkt_enctypes
shy_snow的专栏
04-12 655
KrbException: no supported default etypes for default_tkt_enctypes 解决: 在 /etc/krb5/krb5.conf 文件的 libdefaults 部分中设置 allow_weak_crypto = true,然后重启Trino。这是因为jdk-17默认禁用了arcfour-hmac-md5-exp、des-cbc-md5 和 des-cbc-crc 弱加密类型。
运行时权限解析以及申请的实现(可完美解决java.lang.SecurityException:Permission Denial 问题)
IceSea7
05-07 2万+
1.运行时权限 Android现在将所有的权限归成了两类: Android中有一共上百种权限,危险权限主要为以下9组24个权限,剩余的都是普通权限: 使用这张表格: 访问https://developer.android.google.cn/reference/android/Manifest.permission可以查看Android系统中完整的权限列表。 1.1 ...
kafka 配置 kerberos 中遇到的问题
zsyoung的博客
08-27 1万+
问题: requirement failed :inter.broker.listener.name must be a listener name defined in adverstised.listeners. the valid options based on currently configured listeners are PLAINTEXT 原因: server.propert...
Kerberoskerberos认证常见错误介绍
热门推荐
wk022的专栏
01-19 5万+
本节按字母顺序 (A-M) 列出了 Kerberos 命令、Kerberos 守护进程、PAM 框架、GSS 接口、NFS 服务和 Kerberos 库的常见错误消息。 备注:下面这些错误有部分是通用的错误,所以解决方法并不一定适用所有场景,具体的解决方案是需要具体分析。不能一概而论。 All authentication systems disabled; connectio
/usr/bin/which: no ip in (/software/modules/bin:/usr/lib64/qt-3.3/bin:/usr/kerberos/sbin:/usr/kerberos/bin:/usr/local/bin:/usr/bin:/bin)
07-14
这个回复看起来是一个命令的输出结果。"/usr/bin/which" 是一个用于查找可执行文件路径的命令,它在括号内列出了系统的搜索路径。在这个输出中,它显示在这些路径中没有找到名为 "ip" 的可执行文件。 这可能意味着您尝试执行的命令 "ip" 在系统中不存在,或者它的路径不在系统的搜索路径中。您可以尝试使用完整的路径来执行 "ip" 命令,或者检查系统中是否安装了相应的软件包。 如果您需要进一步的帮助,请提供更多关于您的环境和具体问题的信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值