java票证管理办法_java – 从Authorization标头中的Kerberos票证中读取用户名

最新推荐文章于 2022-01-07 20:04:13 发布
最新推荐文章于 2022-01-07 20:04:13 发布
阅读量304 收藏
点赞数
文章标签: java票证管理办法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39610678/article/details/114603706
版权
本文档描述了在Java中尝试从Authorization HTTP标头的Kerberos票证中读取用户名时遇到的挑战。作者分享了他们的代码实现过程,包括login.conf配置和Keytab文件的使用,并详细说明了遇到的`GSSException: No valid credentials provided`以及`KDC has no support for encryption type`等错误。他们寻求帮助以解决Kerberos认证中的加密类型不被支持的问题。
摘要由CSDN通过智能技术生成

我想从Authorization HTTP标头中的Kerberos票证中读取用户名.我正在使用

Java.

我花了几天时间试图通过阅读关于这个主题的一堆网站来实现这一目标,但却无法做到这一点. Kerberos对我来说是新的/陌生的.

这就是我所取得的成就:

>当用户首次访问该站点时 – 没有Authorization标头,服务器将响应401标头:WWW-Authenticate = Negotiate.

>客户端发生各种各样的神奇事物.

>用户返回包含Authorization标头的HTTP请求,其值类似于:“Negotiate YHcGB … ==”

>将base64编码的票证解码为字节数组.

从这里开始,这是一段通过未知世界的可怕旅程.据我所知,接下来的步骤应该是:

>使用用户登录AD / Kerberos / Server.

>解码门票.

这就是我所拥有的:

login.conf的

ServicePrincipalLoginContext

{

com.sun.security.auth.module.Krb5LoginModule

required

principal="HTTP/some.server.com@MY.DOMAIN.COM"

doNotPrompt=true

useTicketCache=true

password=mYpasSword

debug=true;

};

JavaClass.java

String encodedTicket = authorization.substring("Negotiate ".length());

byte[] ticket = Base64.decode(encodedTicket);

LoginContext lc = new LoginContext("ServicePrincipalLoginContext");

lc.login();

Subject serviceSubject = lc.getSubject();

Subject.doAs(serviceSubject, new ServiceTicketDecoder(ticket));

ServiceTicketDecoder.java

public String run() throws Exception {

Oid kerberos5Oid = new Oid("1.2.840.113554.1.2.2");

GSSManager gssManager = GSSManager.getInstance();

String service = "krbtgt/MY.DOMAIN.COM@MY.DOMAIN.COM";

GSSName serviceName = gssManager.createName(service, GSSName.NT_USER_NAME);

GSSCredential serviceCredentials = gssManager.createCredential(serviceName, GSSCredential.INDEFINITE_LIFETIME, kerberos5Oid, GSSCredential.ACCEPT_ONLY);

GSSContext gssContext = gssManager.createContext(serviceCredentials);

gssContext.acceptSecContext(this.serviceTicket, 0, this.serviceTicket.length);

GSSName srcName = gssContext.getSrcName();

return srcName.toString;

}

JavaClass.java中的登录工作正常,所以我假设login.conf没问题.在ServiceTicketDecoder.java中的“GSSCredential serviceCredentials = gssManager.createCredential(…”)中抛出以下异常:

java.security.PrivilegedActionException: GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos Key)

我不确定这是否是正确的方法.我也不知道“字符串服务”的价值应该是什么,或者如何获取该信息.你能帮助我吗?

编辑:

login.conf的

ServicePrincipalLoginContext

{

com.sun.security.auth.module.Krb5LoginModule

required

principal="HTTP/some.server.com@MY.DOMAIN.COM"

doNotPrompt=true

useTicketCache=true

keyTab="C:/server-http.keytab"

debug=true;

};

我收到了一个keytab文件.显然,HTTP / some.server.com用户的帐户已经是服务主体帐户.我现在在lc.login()的JavaClass.java上遇到了问题:

javax.security.auth.login.LoginException: KDC has no support for encryption type (14)

Caused by: KrbException: KDC has no support for encryption type (14)

Caused by: KrbException: Identifier doesn't match expected value (906)

keytab文件使用des-cbc-md5加密,我在krb.conf文件中定义了以下内容:

[libdefaults]

default_realm = MY.DOMAIN.COM

default_tkt_enctypes = des-cbc-md5

default_tgs_enctypes = des-cbc-md5

如果我将默认的enctype更改为例如aes128-cts,我得到以下异常:

javax.security.auth.login.LoginException: Do not have keys of types listed in default_tkt_enctypes available; only have keys of following type: DES CBC mode with MD5

我不明白有什么不对……

weixin_39610678
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java 获取 客户端用户名和密码_java 获取连接到Web服务器的客户端的用户名
weixin_35695434的博客
02-16 623
您需要设置Spring Security Kerberos extension 这是您在Spring Security 3执行所述操作的唯一方法.这支持SPNEGO协商,但需要在服务器上进行一些设置(以及SPNEGO和SPNEGO的知识) Kerberos工作).没有太多的文档 但Mike的1.0M2附带的示例应用程序非常棒,涵盖了大多数常见场景,包括自动SPNEGO身份验证.SPNEG...
java kerberos 密码_【原创】kerberos无密码登录
weixin_36318506的博客
02-26 625
通常在远程客户端上登录kerbros都需要密码,在学习hadoop的时候提到了ktutil这个工具,这里将使用方法贴出来。用到的命令如下:1、ktutil2、add_entry-password -p hadoop/admin@psy.com -k 3 -e aes256-cts-hmac-sha1-96解释:-k 指编号 -e指加密方式 -password 指使用密码的方式例子:add_entr...
解决no supported default etypes for default_tkt_enctypes问题,jce_policy-8.zip下载
11-11
JAVA连接hive/hbase/sparksql/hdfs,kerbers认证失败 报no supported default etypes for default_tkt_enctypes ,需要更新jdk8的安全jar包,用来处理keytab文件,可以在oracle官网下,但是要注册账号,也可以下我的。
JAVA实现negotiate认证_java HttpClient设置Kerberos身份验证的凭据
weixin_35750747的博客
02-27 1005
由于SPNEGO,您发布的代码段(凭据类设置)不会被httpclient用于身份验证.您可以使用DoAs作为CallBackhandler来传递用户&运行时密码.然后你需要一个login.conf或其的任何名称:KrbLogin{com.sun.security.auth.module.Krb5LoginModule required doNotPrompt=false debug=tr...
java调试Kerberos,输出登陆信息
gx304419380的博客
05-08 4780
在代码添加: System.setProperty(“sun.security.krb5.debug”, “true”);
JAAS.rar_Action!_Jaas Kerber_jaas KERBEROS_kerberos Java_login.a
09-24
_Jaas_Kerber_jaas_KERBEROS_kerberos_Java_login.a"压缩包文件包含了关于如何在Java环境使用JAAS实现Kerberos登录和委托的示例代码。Kerberos是一种广泛使用的网络身份验证协议,它提供了强大的安全性,通过一次...
Java.zip_企业管理_Java_
08-11
综上所述,"Java.zip_企业管理_Java_"所代表的项目是一个综合运用了多种Java技术构建的人事档案管理系统,涵盖了从数据库交互、业务逻辑处理到用户界面展现的全过程。通过这样的项目,开发者可以深入理解Java在企业...
251_java图书借阅系统_图书管理系统_图书商城.rar
04-27
综上所述,Java图书借阅系统与图书管理系统涉及了Java开发的多个方面,从后端架构到前端交互,再到数据库设计和用户体验优化,每一个环节都体现了Java技术在实际项目的应用深度和广度。通过深入学习和实践,开发者...
java 文件断点续下载源码及实例 支持Etag HTTP认证用户名密码
01-16
Java 断点续下载技术是网络编程一个重要的实践,特别是在大文件传输或者网络环境不稳定的情况下,能够提高用户体验并减少网络资源的浪费。Etag 是HTTP协议的一个用于标识资源状态的头信息,而HTTP认证则涉及到...
rsgl.rar_企业管理_Java_
08-12
本文将围绕"rsgl.rar_企业管理_Java_"这个主题,深入探讨Java如何在人事管理系统发挥作用,为初学者提供一个学习和实践的参考。 一、Java与人事管理系统 Java以其面向对象的特性,为构建复杂的企业级系统提供了...
CDH5.3配置Kerberos+LDAP+Sentry记录
小黑
09-06 2万+
系统环境说明 操作系统:Centos6.5 CDH版本:5.3 JDK版本:1.7 操作用户:root Kerberos版本:1.10.3 LDAP版本:2.4.40 Sentry版本:1.4 集群配置 机器数量:5 内存:64G 硬盘:10T CPU核心数:24 运行的服务:HDFS、Yarn、HBase、Hive、Sqoop2、Impala、Zookeep
javax.security.auth.login.LoginException:没有为 XXX 配置LoginModules
David.turing's Security Blog
03-20 3540
sssneptune  提出了一个问题如下:*********************************************************************error信息为:javax.security.auth.login.LoginException:没有为 MyRealm  配置LoginModules 我明明已经配置了MyRealm在我的log...
【安全】Kerberos相关问题进行故障排除| 常见错误和解决方法
热门推荐
九师兄
01-07 2万+
1.概述 转载 为了学习:Kerberos相关问题进行故障排除| 常见错误和解决方法 2.总结 可以用来帮助诊断Kerberos相关问题的原因并实施解决方案的指南。 3. 症状 单击症状链接转到相应的疑难解答部分。 2.1 Kerberos tgt javax.security.sasl.SaslException: GSS initiate failed [Caused by GSSException: No valid credentials provided (Mechanism level: F.
java pass can not be_java 校验和失败:Kerberos / Spring / Active Directory(2008)
weixin_33791488的博客
02-16 532
问题似乎在关键表.有一些动作序列导致某些特定的keytab文件状态:(A)keytab适用于Java但不适用于k5start / kinit;(B)keytab不适用于Java,但适用于k5start / kinit;(C)keytab适用于它们.简短的Java代码,允许检查Java是否可以使用keytab文件进行身份验证:import java.io.File;import java.io.F...
java hadoop认证,java远程连接hadoop,kerbers认证失败 报no supported default etypes for default_tkt_enctypes...
weixin_42298876的博客
03-13 421
@PostConstructpublic voidinit() throws Exception {if (conn == null) {//System.setProperty("hadoop.home.dir", "G:/keyberos/hbase");System.setProperty("java.security.krb5.conf",krbConf);conf=HBaseConfig...
MIT Kerberos 故障排除
逗点云
02-27 2304
1. 日志记录 大多数使用MIT krb5 1.9或更高版本可以使用跟踪日志记录提供有关内部krb5库操作的信息。要启用此功能,可以在运行程序之前将KRB5_TRACE环境变量设置为文件名。在大多数操作系统上,文件名/ dev / stdout可用于将跟踪日志记录输出发送到标准输出上。 如下示例,显示了调用kvno命令的跟踪日志记录输出: shell%envKRB5_TRA...
Hue升级后的问题
qxf1374268的博客
02-13 545
编译报错 File "/opt/cloudera/parcels/CDH-5.9.0-1.cdh5.9.0.p0.23/lib/hue/build/env/lib/python2.6/site-packages/MySQL_python-1.2.5-py2.6-linux-x86_64.egg/MySQLdb/connections.py", line 193, in __init__ ...
java http调用 authorization 用户名编码方式怎么配在headers
最新发布
10-19
Java进行HTTP调用时,如果需要在请求的Header包含Authorization信息,可以通过将用户名和密码进行Base64编码的方式来实现。 首先,需要将用户名和密码按照"username:password"的格式拼接起来,再将拼接后的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值