使用MIT Kerberos通过JDBC与CLI连接到PostgreSQL 9.4时出错

时间:2016-04-20 00:41:45

标签: java postgresql authentication jdbc kerberos

我已经使用psql在CLI上设置了PostgreSQL 9.4和MIT Kerberos 5以及CAN连接。在提交指纹后,我的校长是bgiles / postgres @ REALM,pg_hba.conf已经

host    all             all             0.0.0.0/0        gss include_realm=1 map=gss krb_realm=REALM

并且pg_ident.conf文件有

gss     /^(.*)/postgres@REALM$ \1

我创建了该主体,将其保存到keytab,如果我

$ kinit -k -t krb5.keytab bgiles/postgres

我可以成功连接到我的PostgreSQL服务器'kpg'。这证明Kerberos和keytab已正确设置。

$ psql -h kpg dbname
(connection information...)

然而,当我使用相同的keytab通过JDBC连接时,我得到了一个GSS身份验证错误,这是由于PostgreSQL拒绝执行映射。

2016-04-20 00:13:16 UTC [18919-1] bgiles/postgres@bgiles LOG:  no match in usermap "gss" for user "bgiles/postgres" authenticated as "bgiles/postgres@REALM"
2016-04-20 00:13:16 UTC [18919-2] bgiles/postgres@bgiles FATAL:  GSSAPI authentication failed for user "bgiles/postgres"
2016-04-20 00:13:16 UTC [18919-3] bgiles/postgres@bgiles DETAIL:  Connection matched pg_hba.conf line 100: "host    all     all     75.144.16.201/32    gss include_realm=1 map=gss krb_realm=REALM"

(我注意到@bgiles并怀疑这是问题的关键,但我完全被它困住了。)

测试代码是

public class KerberosPostgreSQLTest {

    static {
        URL url = Thread.currentThread().getContextClassLoader().getResource("jaas.conf");

        System.setProperty("java.security.auth.login.config", url.toExternalForm());
        System.setProperty("java.security.krb5.realm", "REALM");
        System.setProperty("java.security.krb5.kdc", "kdc");
    }

    @Test
    public void test() throws Exception {
        String url = "jdbc:postgresql://kpg/bgiles";
        String user = "bgiles/postgres";

        Properties connInfo = new Properties();
        connInfo.put("user", user);
        connInfo.put("jaasApplicationName", "pgjdbc");

        try (Connection conn = DriverManager.getConnection(url, connInfo)) {

        }
    }
}

,JAAS配置文件是

pgjdbc {
    com.sun.security.auth.module.Krb5LoginModule required
    refreshKrb5Config=true
    doNotPrompt=true
    useTicketCache=true
    renewTGT=false
    useKeyTab=true
    keyTab="/tmp/krb5.keytab"
    debug=true
    client=true
    principal="bgiles/postgres"
    ;

};

PostgreSQL数据库肯定会识别出有效的Kerberos连接尝试。它正在最后一步,它从Kerberos主体映射到PostgreSQL用户ID。不知何故,java / jaas / jdbc代码正在破坏它,并且在CLI上工作的东西不能通过JDBC工作。

我使用了无数的布尔标志变体并添加或删除了@REALM,并找到了许多防止GSS身份验证发生的方法,但没有任何东西可以让我连接到服务器。

有什么想法吗?唯一的区别在于java / jaas / jdbc代码,但我无法理解如何获得仍然被KDC接受的受损主体。 TGT问题?

谢谢,

0 个答案:

没有答案
相关问题
最新问题