使用Kerberos连接到SMB共享时出现KrbException“Message Stream Modified(41)”

时间:2014-01-08 17:02:02

标签: java kerberos samba cifs jcifs

我在使用Kerberos身份验证时遇到一些问题,无法使用JCifs执行文件管理(Kerberos扩展版本1.3.17)

这是我目前的krb5.conf配置:

[libdefaults]
    default_realm = <REALM_NAME_UPPERCASE>
    udp_preference_limit = 1
[realms]
    <REALM_NAME_UPPERCASE> = {
        kdc = <DOMAIN_NAME_UPPERCASE>:88
        admin_server = <DOMAIN_NAME_UPPERCASE>
        default_domain = <DOMAIN_NAME_UPPERCASE>
    }
[domain_realm]
    .<domain_name> = <REALM_NAME_UPPERCASE>
    <domain_name> = <REALM_NAME_UPPERCASE>
[appdefaults]
    kinit = {
        renewable = true
        forwardable = true
    }

这是验证用户身份的代码,然后尝试在网络中的文件服务器上查找文件:

public static void main (String[] args) throws Exception {
    Subject subject = new Subject();
    System.setProperty("java.security.krb5.conf", "C:/krb5.conf");
    System.setProperty("sun.security.krb5.debug", "true");

    Map<String, Object> state = new HashMap<String, Object>();
    state.put("javax.security.auth.login.name", "USERNAME");
    state.put("javax.security.auth.login.password", "PASSWORD".toCharArray());

    Map<String, Object> options = new HashMap<String, Object>();
    options.put("debug", "true");
    options.put("useFirstPass", "true");

    Krb5LoginModule login = new Krb5LoginModule();
    login.initialize(subject, null, state, options);

    if (login.login()) {
        login.commit();
    }

    String path = "file://HOST/242269/"; // existing file server folder
    Kerb5Authenticator kerberosAuthenticator = new Kerb5Authenticator(subject);

    SmbFile smbFile = new SmbFile(path, kerberosAuthenticator);
    SmbFile[] files = smbFile.listFiles();

    for (SmbFile file : files) {
        System.out.println(file);
    }
}

现在,当我运行此代码时,它表示可以使用这些凭据对用户进行身份验证(当我更改凭据时,身份验证失败)并为该用户创建一个票证。 当我稍后尝试通过CIFS检索文件目录的内容时,它给出了以下错误:

GSSException: No valid credentials provided (Mechanism level: Message stream modified (41))
at sun.security.jgss.krb5.Krb5Context.initSecContext(Unknown Source)
at sun.security.jgss.GSSContextImpl.initSecContext(Unknown Source)
at sun.security.jgss.GSSContextImpl.initSecContext(Unknown Source)
at jcifs.smb.SpnegoContext.initSecContext(SpnegoContext.java:80)
at jcifs.smb.Kerb5Authenticator.setup(Kerb5Authenticator.java:196)
at jcifs.smb.Kerb5Authenticator.access$000(Kerb5Authenticator.java:30)
at jcifs.smb.Kerb5Authenticator$1.run(Kerb5Authenticator.java:168)
at java.security.AccessController.doPrivileged(Native Method)
at javax.security.auth.Subject.doAs(Unknown Source)
at jcifs.smb.Kerb5Authenticator.sessionSetup(Kerb5Authenticator.java:166)
at jcifs.smb.SmbSession.sessionSetup(SmbSession.java:320)
at jcifs.smb.SmbSession.send(SmbSession.java:239)
at jcifs.smb.SmbTree.treeConnect(SmbTree.java:176)
at jcifs.smb.SmbFile.doConnect(SmbFile.java:925)
at jcifs.smb.SmbFile.connect(SmbFile.java:974)
at jcifs.smb.SmbFile.connect0(SmbFile.java:890)
at jcifs.smb.SmbFile.resolveDfs(SmbFile.java:669)
at jcifs.smb.SmbFile.send(SmbFile.java:783)
at jcifs.smb.SmbFile.doFindFirstNext(SmbFile.java:2009)
at jcifs.smb.SmbFile.doEnum(SmbFile.java:1758)
at jcifs.smb.SmbFile.listFiles(SmbFile.java:1735)
at jcifs.smb.SmbFile.listFiles(SmbFile.java:1668)

您可以找到完整的错误日志here(某些细节已被混淆)

有人可以让我朝着正确的方向前进,看看我在这里做错了吗?

3 个答案:

答案 0 :(得分:9)

领域的

大写非常重要,以避免“Exception: krb_error 41 Message stream modified (41)”。

参见 http://sourceforge.net/p/spnego/discussion/1003769/thread/99b3ff67/

答案 1 :(得分:8)

讨厌在necrobump上运行,但在Docker容器中启动Spark和Zeppelin时遇到了同样的问题,其中主服务器是启用Kerberos的远程YARN集群。但是,在这种情况下,领域名称大写/小写不是问题

几个小时后,我发现this thread表示建议从krb5.conf文件中删除以下行:

renew_lifetime = 7d

这解决了问题。希望这对某人有帮助。

答案 2 :(得分:0)

在配置中删除 renew_lifetime = 7d 行的替代(和更好)答案是允许委托人进行续订。在 CentOS 7 中,示例命令如下:

kadmin -p admin/admin@EXAMPLE.COM

我假设 admin/admin@EXAMPLE.COM 是管理员主体,然后:

modprinc -maxrenewlife 90day +allow_renewable your_service@EXAMPLE.COM

我假设导致问题的服务的主体是 your_service@EXAMPLE.COM;而90day重生是随意的。

这解决了问题无需从 renew_lifetime=7d 文件中删除 krb5.conf