13

我对 MOngoDB + Java 配置非常陌生。我正在尝试从 Java 应用程序实现与远程 mongodb 服务器的连接。我想使用 GSSAPI 机制与 mongotemplate 连接。下面的代码已经成功执行。下面的代码来自我的配置文件。

List<ServerAddress> serverAddresses = new ArrayList<ServerAddress>();
    ServerAddress address = new ServerAddress(host, port);
    serverAddresses.add(address);
    List<MongoCredential> credentials = new ArrayList<MongoCredential>();

    MongoCredential credential = MongoCredential.createGSSAPICredential(userName);

    credential.withMechanismProperty("SERVICE_NAME", gssapiServiceName);
    credential.withMechanismProperty("CANONICALIZE_HOST_NAME", true);
    credentials.add(credential);

    return new MongoClient(serverAddresses, credentials);

但是当我尝试执行下面的代码时,我遇到了异常

DB db = mongoTemplate.getDb();
Set<String> dbCollections1 = db.getCollectionNames();

例外:

GSSException:在 sun.security.jgss.krb5.Krb5MechFactory.getCredentialElement(Krb5MechFactory) 的 sun.security.jgss.krb5.Krb5InitCredential.getInstance(Krb5InitCredential.java:147) 处未提供有效凭据(机制级别:未能找到任何 Kerberos tgt) .java:122) 在 sun.security.jgss.GSSManagerImpl.getCredentialElement(GSSManagerImpl.java:193) 在 sun.security.jgss.GSSCredentialImpl.add(GSSCredentialImpl.java:427) 在 sun.security.jgss.GSSCredentialImpl.(GSSCredentialImpl .java:62) 在 sun.security.jgss.GSSManagerImpl.createCredential(GSSManagerImpl.java:154) 在 com.mongodb.DBPort$GSSAPIAuthenticator.getGSSCredential(DBPort.java:622) 在 com.mongodb.DBPort$GSSAPIAuthenticator.createSaslClient( DBPort.java:593) 在 com.mongodb.DBPort$SaslAuthenticator.authenticate(DBPort.java:895) 在 com。mongodb.DBPort.authenticate(DBPort.java:432) 在 com.mongodb.DBPort.checkAuth(DBPort.java:443) 在 com.mongodb.DBTCPConnector.innerCall(DBTCPConnector.java:289) 在 com.mongodb.DBTCPConnector.call (DBTCPConnector.java:269) 在 com.mongodb.DBCollectionImpl.find(DBCollectionImpl.java:84) 在 com.mongodb.DB.command(DB.java:320) 在 com.mongodb.DB.command(DB.java: 299) 在 com.mongodb.DB.command(DB.java:388) 在 com.mongodb.DBApiLayer.getCollectionNames(DBApiLayer.java:152)320) 在 com.mongodb.DB.command(DB.java:299) 在 com.mongodb.DB.command(DB.java:388) 在 com.mongodb.DBApiLayer.getCollectionNames(DBApiLayer.java:152)320) 在 com.mongodb.DB.command(DB.java:299) 在 com.mongodb.DB.command(DB.java:388) 在 com.mongodb.DBApiLayer.getCollectionNames(DBApiLayer.java:152)

4

3 回答 3

15

百万感谢所有回复并查看我的问题的人。

添加一些系统属性和一个新的 conf 文件后,我终于可以连接到 MongoDB 服务器了。特此更新代码 -

try {
        System.setProperty("java.security.krb5.conf","C:/mongodb/UnixKeytab/krb5.conf");
        System.setProperty("java.security.krb5.realm","EXAMPLE.COM");
        System.setProperty("java.security.krb5.kdc","example.com");
        System.setProperty("javax.security.auth.useSubjectCredsOnly","false");
        System.setProperty("java.security.auth.login.config","C:/mongodb/UnixKeytab/gss-jaas.conf");


        List<ServerAddress> serverAddresses = new ArrayList<ServerAddress>();
        ServerAddress address = new ServerAddress(host, port);
        serverAddresses.add(address);
        List<MongoCredential> credentials = new ArrayList<MongoCredential>();
        MongoCredential credential = MongoCredential.createGSSAPICredential(username);
        credentials.add(credential);
        MongoClient mongoClient1 = new MongoClient(serverAddresses, credentials);
        DB db = mongoClient1.getDB(database);

    } catch (UnknownHostException e) {
        e.printStackTrace();
    }

我的 krb5.conf 文件如下所示 -

[libdefaults]
     default_realm = EXAMPLE.COM
     default_tkt_enctypes = des-cbc-md5 rc4-hmac
     default_tgs_enctypes = des-cbc-md5 rc4-hmac
     default_keytab_name = <keytab file path>
[realms]
EXAMPLE.COM = {
    kdc = example.com
    master_kdc = example.com
    default_domain = EXAMPLE.COM
}
INTRANET = {
    kdc = example.com
    master_kdc = example.com
    default_domain = example.com
}

我的 gss-jaas.conf 如下所示 -

com.sun.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required
useKeyTab=true
useTicketCache=false
principal="my-account@MY_REALM"
doNotPrompt=true
keyTab="path-to-my-keytab-file"
debug=true;};

我发布的代码对我有用。希望这对其他人有用。

于 2015-11-23T12:37:17.680 回答
4

在这篇文章中添加一些信息,因为它已经非常有用了。

如果Sasl/createSaslClient不在Subject:doAs从 检索的方法中运行LoginContext,则不会从krb5.conf文件中提取凭据。即GSS代码查看通过该方法注册的主题的当前线程的安全管理器Subject:doAs,然后使用来自该主题的凭据。这Subject应该是通过jaas它获得的,反过来会读取正确的jaaskrb5.conf凭据,但是如果你不在方法中运行saslandsaslclient方法,这Subject:doAs一切都无关紧要。

您可以通过设置来绕过它,javax.security.auth.useSubjectCredsOnly=false这意味着如果找不到凭据,则会在 jaas 文件中搜索一些默认名称,请参见LoginConfigImpl.java#92,一个是com.sun.security.jgss.initiate

例如

com.sun.security.jgss.initiate{
   com.sun.security.auth.module.Krb5LoginModule required
   doNotPrompt=true
   useTicketCache=true
   useKeyTab=true
   keyTab="mykeytab"
   principal="service/host@REALM";
 };
于 2016-12-13T23:26:53.307 回答
1

我遇到了同样的错误“机制级别:找不到任何 Kerberos tgt”。我的问题看起来与您的不同,但它可能对其他有相同错误的问题有用。

就我而言,这是由于在我的一个配置文件中写入主体名称时出错引起的。

我建议检查 Jaas LoginManager 配置文件(随 java.security.auth.login.config 提供)和主体的策略文件。典型的错误是小写的域名:gino@authdemo.it 而不是 gino@AUTHDEMO.IT

如果您以编程方式设置/引用主体,您还可以在代码中检查主体名称的正确性。问候

于 2017-08-16T09:31:22.930 回答