我们正在尝试设置kerberos,最初我们必须使用kinit进行初始化以使身份验证正常工作。我们像团队中的其他人一样创建了我们的校长。现在突然有三个用户无法让他们的kerberos工作。因为我们都是开发人员,所以我们的机器需要充当服务器,因此我们为每台机器创建了主体。
奇怪的是,它在开始时对每个人都有用,现在它只适用于少数人。我们可以在klist中看到我们的keytab名称
这就是我们创建keytabs的方式
C:\Windows\system32>ktpass -princ HTTP/<complete system name>@<domain>
-pass <password> -mapuser <keytab_filename>@<domain> -ptype krb
5_nt_principal -kvno 0 -out c:\keytabs\<keytab_filename>Targeting domain controller: <domain server>.<domain>
Successfully mapped HTTP/<complete system name> to <keytab_filename>.
Password succesfully set!
Key created.
Output keytab to c:\keytabs\<keytab_filename>:
Keytab version: 0x502
keysize 84 HTTP/<complete_system_name>@<domain> ptype 1 (KRB5_NT_PR
INCIPAL) vno 0 etype 0x17 (RC4-HMAC) keylength 16 (some hash number)
我能看到的唯一区别(从kerberos工作机器到非工作机器)是响应头具有协商授权但响应头没有响应令牌。我们无法弄清问题是什么。
Pragma: no-cache
Connection: keep-alive
Content-Length: 71
Cache-Control: no-cache, no-store, must-revalidate
Content-Type: text/html;charset=UTF-8
Date: Fri, 30 Jun 2017 20:18:06 GMT
Expires: 0
Server: JBoss-EAP/7
WWW-Authenticate: Negotiate
X-Powered-By: Undertow/1
我确保浏览器使用的是this
的kerberos非常感谢任何帮助。
答案 0 :(得分:1)
我的应用程序缺少Web模块中的jboss安全协商依赖项。
<jboss-deployment-structure>
<deployment>
<dependencies>
<module name="org.jboss.security.negotiation"/>
</dependencies>
</deployment>
</jboss-deployment-structure>
添加此依赖项后,kerberos票证开始出现在请求和响应中