问题标签 [keytab]

我通过一个在 JBoss EAP 6.4 中配置的数据源连接到 MSSQL Server，它带有一个使用 KerberosLoginModule 的安全域。

我的应用程序连接成功，并且可以正常工作长达 10 小时。之后，Kerberos 票证到期，因为 10 小时是作为 KDC 的 Active Directory 的默认生命周期，并且我的应用程序失败并出现“票证过期 (32)”错误。

我不明白为什么在票证到期后，应用程序不再尝试使用 keytab 来获取新票证。

有什么线索吗？

是否可以从 jaas.conf 的类路径中引用密钥表？

我尝试了以下方法，但似乎没有任何效果：

在尝试将示例 Spring Security kerberos 应用程序集成到我的实际应用程序之前，我正在尝试使其运行。这是我正在运行的应用程序：https ://github.com/spring-projects/spring-security-kerberos/tree/master/spring-security-kerberos-samples/sec-server-win-auth/src/main

我已经设置了 spn，并创建了 keytab，在运行应用程序时，我尝试使用 chrome 访问，我得到一个错误 500

在服务器控制台上显示为：

我可以从代码中看到，当getSrcName()从GSSContext返回 null 时会发生这种情况。

现在我只在我的笔记本电脑上运行，尝试让它工作。运行 spring 应用程序的 java 进程在我用来登录的同一 Windows 帐户下运行。DNS 已配置，以便我可以使用laptop-name.mycompany.com以下是我为 spn 和 keytab 所做的访问我的笔记本电脑：

setspn -A HTTP/laptop-name.mycompany.com:8080 myWindowsUsername

ktpass -princ HTTP/laptop-name.mycompany.com:8080@MYCOMPANY.COM -pass password123 -mapuser myWindowsUsername@mycompany.com -out keytab.keytab -ptype KRB5_NT_PRINCIPAL

在security我添加的 java 目录中krb5.conf，其中包含以下内容：

我不确定这是否是一个问题，但是当我使用 kinit 验证密钥表时，我在输出的底部看到了这个

输出还表明主体是-V@MYCOMPANY.COM看起来不正确的。

对于 keytabs 和 GSS api 的使用，我还是个新手。我不确定这是否是我的 keytab 生成、spn 设置或我的系统配置的问题，任何帮助都会非常感激。

我正在尝试为我们的 SAP 系统实现单点登录。在前 3 台机器上，我没有遇到任何问题。但现在情况似乎有点不同：

如果我尝试通过 ktutil 将主机 keytab 文件写入 krb5.keytab，则会发生错误：在写入 keytab“/etc/krb5.keytab”时没有此类文件或目录。我尝试创建缺少的 krb5.keytab 并再次尝试： Unsupported key table format version number while writing keytab /etc/krb5

我已经从我们的软件中心安装了所有与 MIT krb5 相关的东西。但是对于这个问题，我不知道从哪里开始。

你知道，我可以在哪里或如何创建一个有效的 krb5.keytab 吗？！还是我必须在 SAP 站点上配置一些东西？

检查新创建的密钥表时，我看到以下错误：

[rxie@cedgedev02 ~]$ klist rxie.keytab klist：凭证缓存中的格式错误（文件名：rxie.keytab）

[rxie@cedgedev02 ~]$ kinit -kt rxie.keytab kinit：无法确定主机的领域（主要主机/cedgedev02.company.com@）

注意我在这里替换了公司的名称。

keytab 是使用自定义的 python 文件创建的，该文件包含以下实际的 ktutil 命令：

任何人都可以分享您对这里缺少什么/什么的想法吗？非常感谢。

自从更新到 69.0.3497.81 版本后，我们的应用程序上的 kerberos 身份验证不再起作用。我不掌握身份验证过程，但似乎 chrome 使用 NTLM 而不是 Kerberos 进行身份验证。

访问我们应用程序的 url 使用别名。例子：

https://myApplication/test

该应用程序部署在服务器上：serverA.domain.com

我认为 keytab 引用了 serverA.domain.com。

我注意到，如果我在域中使用完整的服务器名称，它可以工作！-> https://serverA.domain.com/test

我们确认使用以前的 chrome 版本，它可以工作。

你们在上次 chrome 更新时遇到过类似的问题吗？有什么建议吗？

使用诸如Kerberos "renew until" auto 之类的关键字，找不到可以解决我的问题的线程，因此在此处发布。

我创建了一个包含以下票证生命周期信息的密钥表

基于Hadoop kerberos 票证自动续订

我可以毫无问题地续订延长到期日期的机票。

现在另一个问题是续订，直到设置为 7 天后到期。

我的问题：

• 哪个命令类似于kinit -R可以自动延长续订日期，这样我就不需要kinit -kt mine.keytab my-principal为我的 keytab 获取新票而重新签发？

• 或者有什么API可以达到同样的效果？使用基于https://www.cloudera.com/documentation/enterprise/5-14-x/topics/sg_kerberos_troubleshoot.html的以下 Hadoop API，我可以执行代码，但在更新之前我找不到更新。

  klist显示续订直到部分中的日期保持不变。

编辑：格式化

我已经在一个 Web 应用程序上实现了 kerberos 单点登录身份验证。为此，我在 Active Directory 中为此特定应用程序（例如：app1.domain.com）生成了一个 keytab 文件。

如果我想在同一个域中的另一个应用程序（例如：app2.domain.com）中实现 SSO 身份验证，我绝对必须生成另一个 keytab 文件吗？

domain.com 中的每个应用程序都不能有一个 keytab 文件吗？

我正在尝试通过 R 远程连接到 Hive 服务器，并使用 Kerberos 密钥表文件执行身份验证。

.jcall("RJavaTools", "Ljava/lang/Object;", "invokeMethod", cl, : java.io.IOException: 从 keytab C:/Users/antonio 登录 antonio.silva@HADOOPREALM.LOCAL 失败。 silva/Desktop/jars/antonio.silva.keytab: javax.security.auth.login.LoginException: null (68)

但是当我尝试通过 keytab 登录用户时，会出现错误。

我做错了什么？

我最近下载了 Hortonworks HDP VM。我可以在上面运行 Kafka。我可以通过security-protocol=PLAINTEXT生成/使用消息。

但是，我现在想通过security-protocol=SASL_PLAINTEXT和 Kerberos 来使用。

我知道我可以SASL_PLAINTEXT通过 Ambari 进行设置（附有屏幕截图），但我想知道是否有关于此的综合指南或文章可以让我知道以下内容？

• 如何在 HDP 沙盒 VM 上设置 Kerberos
• 如何在 HDP Sandbox VM 中设置 keytab
• 如何在 HDP 沙盒 VM 中设置 Kafka 以使用 SASL_PLAINTEXT 运行
• 如何通过 security-protocl=SASL_PLAINTEXT 消费/生产

我的 HDP 沙盒版本详细信息是：

SASL_PLAINTEXT通过 AMBARI 设置 KAFKA 的屏幕截图如下：