调用GSSContext.initSecContext会间歇性地失败:接收超时

时间:2013-03-19 14:02:43

标签: java authentication configuration windows-authentication kerberos

我正在使用服务编写Windows Kerberos身份验证的客户端代码(省略了日志代码):

System.setProperty("javax.security.auth.useSubjectCredsOnly", "false");
// System.setProperty("sun.security.krb5.debug", "true");
Package thisPkg = AuthHelper.class.getPackage();
String configPath = Util.getConfigPath(thisPkg, "jaas.conf");
System.setProperty("java.security.auth.login.config", "=" + configPath);
GSSManager manager = GSSManager.getInstance();
GSSName peerName = manager.createName(spn, GSSName.NT_HOSTBASED_SERVICE);
GSSContext context = manager.createContext(peerName, null, null,
    GSSContext.DEFAULT_LIFETIME);
context.requestMutualAuth(true); // required
context.requestCredDeleg(true); // required for publish
byte[] serverTokenBytes = new byte[0];
while (!context.isEstablished()) {
  byte[] clientTokenBytes = context.initSecContext(serverTokenBytes, 0,
      serverTokenBytes.length);
  if (clientTokenBytes != null)
    socket.send(createClientMessage(clientTokenBytes));
  if (context.isEstablished()) break;
  Message message = socket.receive();
  String serverToken = message.getFirst("SERVERTOKEN").toString();
  serverTokenBytes = Base64.decodeBase64(serverToken);
}

jaas.conf只包含:

sp {
  com.sun.security.auth.module.Krb5LoginModule required debug=true;
};

我还根据需要设置了allowtgtsessionkey注册表项,并安装了JCE Unlimited Strength Jurisdiction Policy Files 7

代码有时有效(即建立了相互认证);但是,有时它会在第一次调用GSSContext.initSecContext时卡住一段时间,大约一分钟后抛出异常:

Exception in thread "main" GSSException: No valid credentials provided (Mechanism level: Receive timed out)
  ...
Caused by: java.net.SocketTimeoutException: Receive timed out
  ...

当我启用Kerberos调试输出时(通过取消注释上面的第二行),我可以看到协议有时会卡在一行:

getKDCFromDNS using UDP

A Java Kerberos troubleshooting website表明这是Kerberos身份验证服务器的问题,但我知道服务器已启动并运行,因为我们使用C#编写的类似代码(使用.NET库)永远不会卡住。

1 个答案:

答案 0 :(得分:1)

似乎Kerberos身份验证服务器的DNS解析正在经历一些间接,这是不可靠的。如果明确指定服务器(代码开头的某个位置),它将绕过该重定向:

System.setProperty("java.security.krb5.realm", "<YOUR_KRB_REALM>");
System.setProperty("java.security.krb5.kdc", "<YOUR_KRB_SERVER_ADDR_OR_IP>");

编辑:事实证明,由于协议使用UDP,与Kerberos服务器的通信本质上是不可靠的,因此对于相对较远的服务器来说,它很有可能失败。 Windows 8默认使用TCP;在以前的版本上强制TCP

  • XP / 2000 :在HKLM\System\CurrentControlSet\Control\Lsa\Kerberos中,将 DWORD MaxPacketSize设置为1
  • 2003 / Vista / 7 :在HKLM\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters中,将 DWORD MaxPacketSize设置为1

(请注意,相同的注册表目录还需要将 DWORD AllowTGTSessionKey设置为1才能使Kerberos正常工作。)

相关问题
最新问题