java获取kdc的tgt_如何使用java GSS JAAS获得可更新的kerberos票证

最新推荐文章于 2023-07-07 23:30:00 发布
最新推荐文章于 2023-07-07 23:30:00 发布
阅读量373 收藏
点赞数
文章标签: java获取kdc的tgt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42298373/article/details/114711708
版权

我使用jTDS连接到SQLServer.在内部,jTDS使用GSS获取kerberos的服务票证并建立安全的上下文.由于我的应用程序是长期存在的,并且我的连接一直保持活动,所以我需要将kerberos的服务票据更新,以便允许SQL服务器自行续订(kdc策略设置为在12小时后使所有票证到期) ).

jTDS获取kerberos令牌的做法(或多或少)如下:

GSSManager manager = GSSManager.getInstance();

// Oids for Kerberos5

Oid mech = new Oid("1.2.840.113554.1.2.2");

Oid nameType = new Oid("1.2.840.113554.1.2.2.1");

// Canonicalize hostname to create SPN like MIT Kerberos does

GSSName serverName = manager.createName("MSSQLSvc/" + host + ":" + port, nameType);

GSSContext gssContext = manager.createContext(serverName, mech, null, GSSContext.DEFAULT_LIFETIME);

gssContext.requestMutualAuth(false);

gssContext.requestCredDeleg(true);

byte[] ticket = gssContext.initSecContext(new byte[0], 0, 0);

我怀疑的是我获得的机票不可更新.我正在通过执行以下操作来检查:

ExtendedGSSContext extendedContext = (ExtendedGSSContext) gssContext;

boolean[] flags = (boolean[]) extendedContext.inquireSecContext(InquireType.KRB5_GET_TKT_FLAGS);

System.out.println("Renewable = " + flags[8]);

在我们的特定配置中,GSS从JAAS登录模块获取kerberos TGT.我们将以下变量设置为false -Djavax.security.auth.useSubjectCredsOnly = false,并在login.cfg文件中配置以下登录模块:

com.sun.security.jgss.krb5.initiate {

com.sun.security.auth.module.Krb5LoginModule required

useKeytTab=true

keyTab="/home/batman/.batman.ktab"

principal="batman@GOTHAMCITY.INT"

storeKey=true

doNotPrompt=true

debug=false

};

我注意到的另一件事是GSSContext的getLifetime()方法似乎不起作用.无论故障单的实际生命周期是什么,它总是返回2147483647(max int).

我对分支jTDS驱动程序感到很自在,因此我可以根据需要修改它建立GSS上下文的方式.

我尝试了什么:

使用GSS api的本机实现:

这对于我来说在获取可更新票证方面效果很好,但它会产生另一组问题(在确保正确设置票证缓存和正确续订票证方面).如果我可以绕过这个选项那就太好了.一旦我在这里观察到的是,getLifetime()方法实际上返回了票证的实际生命周期(以秒为单位).

重新实现KerberosLoginModule:

根据这个问题Jaas – Requesting Renewable Kerberos Tickets的答案,我重新实现了LoginModule,以便在请求TGT之前在KrbAsReqBuilder中设置RENEW KDCOption.从我获得可再生TGT的意义上来说这很好,但GSS从TGT获得的机票仍然不可再生.如果我在KDCOption对象的构造函数中设置一个断点并在每个请求上手动设置RENEW标志(甚至是由GSS完成的KrbTgsReq)它可以工作,但是要使这个变化有效,需要在GSS上进行重大改写,我觉得不舒服.

lstay
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JAAS Authentication Example
来啊 快活啊
08-16 1994
例子程序来源于Java文档。 1. 配置Kerberos的Server端,配置KDCkdc.conf)和Server(krb5.conf)。 2. 增加一个Principal,一个用于程序测试。 3. 将JassAcn.javaJaas.conf文件拷贝到一个文件夹。 4. Javac编译JassAcn.java文件 5. 用下面的命令执行class文件,替换成自己的配置
java kerberos tgt_Java无法从Linux客户端的缓存中获取TGT
weixin_34379088的博客
02-23 840
我在RHEL5.5中设置了Kerberos服务器和OpenLDAP.我还有一台RHEL6机器作为客户端.我使用jaas运行我的Java程序,从Linux客户端查询OpenLDAP服务器.如果我将客户端的密钥表复制到客户端计算机并使用以下配置选项,我可以查询OpenLDAP服务器:principal=wpingliuseKeyTab=truekeyTab="/home/wpingli/ker/jav...
java kerberos tgt_彻底解决 Mechanism level: Failed to find any Kerberos tgt
weixin_34460380的博客
02-23 1980
错误描述Secure Client Cannot Connect ([Caused by GSSException: No valid credentials provided(Mechanism level: Failed to find any Kerberos tgt)])症状如果不是klist keytab有效期的问题,却还报这个错如果是常驻型的服务,例如 nohup ,tomcat等等服...
深入理解Java GSS(含kerberos认证及在hadoop、flink案例场景举例)
最新发布
阿甘兄
07-07 1444
深入理解Java GSS,实现kerberos认证的方式,以及在hadoop和flink场景的使用
Hadoop安全之Kerberos
S1124654的博客
01-30 3397
Hadoop安全之Kerberos
kdc_java_android_
09-30
Android 简单刻度尺,刻度会滑动到离他最近的大刻度上
haox:Java 中的 Kerberos 实现
06-17
Haox 旨在实现 Java Kerberos 绑定,并提供丰富的、直观的和可互操作的实现、库和各种工具,可根据需要在移动、云和 Hadoop 等现代环境中集成 Kerberos、PKI 和令牌 (OAuth)。 倡议/目标 旨在作为 Java Kerberos ...
KerberosAuthentication-KeyEstablishment:使用 KDC 服务器建立密钥
05-31
使用 KDC 服务器的用户之间的身份验证 对于每个类和方法,我都相应地编写了 JavaDocs。 Main 类实际上是一个类,其中测试了应用程序的所有功能。 这个类中没有函数,只是对预先存在的类和方法的引用。 因为我需要...
kerberos java system
03-29
kerberosjava实现,使用kerberos关键技术的认证系统,有jar包及kerberoskdc等。附带说明使用文档,配置成功可以运行。
ansible-role-configure_kerberos_kdcs:配置Kerberos KDC
04-08
配置Kerberos KDC 要求 没有任何。 角色变量 没有任何。 依存关系 没有任何 剧本范例 - hosts: servers roles: - { role: 'johanneskastl.configure_kerberos_kdcs' } 执照 BSD-3条款 作者信息 我是Johannes ...
java获取kdctgt_kerberos体系下的应用(yarn,spark on yarn)
weixin_39786141的博客
02-16 390
kerberos 介绍Kerberos实际上一个基于Ticket的认证方式。Client想要获取Server端的资源,先得通过Server的认证;而认证的先决条件是Client向Server提供从KDC获得的一个有Server的Master Key进行加密的Session Ticket(Session Key + Client Info)image.png大体逻辑流程如下:Client向KDC申请...
java票证管理办法,自动更新Kerberos票证不能从Java工作
weixin_42298971的博客
02-25 281
In my server application I'm connecting to Kerberos secured Hadoop cluster from my java application. On the application startup I do callUserGroupInformation.loginUserFromKeytabAndReturnUGI( ... );I'm...
Java无法设定从不检查更新_无法从Java自动更新Kerberos票证
weixin_36356002的博客
02-23 229
在我的服务器应用程序中,我正在从Java应用程序连接到受Kerberos保护的Hadoop群集。在应用程序启动时,我会打电话给UserGroupInformation.loginUserFromKeytabAndReturnUGI( ... );我正在使用本机FileSystemAPI(例如FileSystem.exists()和)进行基本的File操作FileSystem.delete()我的应...
聊聊 kerberos 的 kinit 命令和 ccache 机制
明哥的IT随笔
03-11 4261
1. 前言 大家好,最近遇到了个 kerberos 相关问题,“客户端节点上执行 kinit -R 命令报错:KDC can’t fulfill requested option while renewing credentials”, 在次跟大家分享下问题的解决方式,和背后的相关知识点,主要涉及到 kerberos 的 kinit 命令和 ccache 机制。 2. 问题现象与问题日志 问题现象: 客户端执行命令 kinit -R 报错: “KDC can’t fulfill requested opt
kerberos验证_使用Kerberos实现AIX的两因素身份验证
cusi77914的博客
06-22 485
身份验证是任何给定系统中最关键的模块之一。 Kerberos是一种流行的安全机制,系统用于网络身份验证和数据的安全传输。 几乎所有支持可插拔身份验证模块的基于UNIX®的操作系统都包含基于Kerberos的身份验证。 IBM®AIX®V5.3具有Kerberos集成的登录名,并且具有许多其实用程序,例如SSH,rlogin,telnet等。 IBM AIX附带了自己的Kerberos风格,称为...
kerberos java实现_Kerberos安全体系详解---Kerberos的简单实现
weixin_33960567的博客
02-16 2023
1. Kerberos简介1.1. 功能一个安全认证协议用tickets验证避免本地保存密码和在互联网上传输密码包含一个可信任的第三方使用对称加密客户端与服务器(非KDC)之间能够相互验证Kerberos只提供一种功能——在网络上安全的完成用户的身份验证。它并不提供授权功能或者审计功能。1.2. 概念首次请求,三次通信方the Authentication Serverthe Ticket Gr...
kerberos客户端认证后java认证失败
04-07
例如,您可以尝试使用kinit命令手动获取Kerberos票证,以确保Kerberos客户端可以正常工作。 4. 如果仍然无法解决问题,请检查Kerberos客户端和Java应用程序的日志以获取更多信息,并尝试调试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值