gss_acquire_cred失败,找不到密钥表条目

时间:2017-11-09 12:53:51

标签: kerberos gssapi

我正在尝试在加入域的情况下使用Linux服务器对Windows客户端进行身份验证,我已根据PBIS/gssappsMSDN GSS/SSPI interop documentation中提供的文档创建了服务主体。更新了/etc/krb5.keytab中的相关keytab条目。

确保DNS区域设置正确且计算机已加入域

static int server_acquire_creds(
    char *service_name,
    gss_cred_id_t *server_creds
    ) 
{
    int ret = 0;
    gss_buffer_desc name_buf = GSS_C_EMPTY_BUFFER;
    gss_name_t server_name = GSS_C_NO_NAME;
    OM_uint32 maj_stat = 0, min_stat = 0;

    name_buf.value = service_name;
    name_buf.length = strlen((char *)name_buf.value) + 1;
    maj_stat = gss_import_name(&min_stat, &name_buf,
                               (gss_OID) gss_nt_service_name, &server_name);
    if (maj_stat != GSS_S_COMPLETE) {
        display_status("importing name", maj_stat, min_stat);
        ret = -1;
        goto error;
    }


    maj_stat = gss_acquire_cred(&min_stat, server_name, 0,
                                GSS_C_NULL_OID_SET, GSS_C_ACCEPT,
                                server_creds, NULL, NULL);
    if (maj_stat != GSS_S_COMPLETE) {
        display_status("acquiring credentials", maj_stat, min_stat);
        ret = -1;
        goto error;
    }

error:
    (void) gss_release_name(&min_stat, &server_name);

    return ret;
}

我遇到的错误:

GSS-API error acquiring credentials: Unspecified GSS failure.  Minor code may provide more information (851968, 851968, 0x000d0000)

GSS-API error acquiring credentials: No key table entry found matching gss\/dell-vostro-155.domain.in/domain.in@ (39756033, 39756033, 0x025ea101)

service_name传递的是"gss/dell-vostro-155.domain.in@domain.in"

我确实在ktutil / list

中看到了主体

主要是寻求有关如何进行调试的建议。

修改

ktutil: list -e

...

114 2 gss/dell-vostro-155.domain.in@domain.in (des-cbc-crc) 

~/work/gss$ hostname -A
dell-vostro-155.domain.in

这发生在服务器端,它将执行gss_ASC,

sudo ./gss-server gss/dell-vostro-155.domain.in@domain.in

因此gss-server充当主体名称中的“gss”部分。

修改

krb5.conf有点大我想粘贴东西,所以添加了一个Pastebin链接krb5.conf

1 个答案:

答案 0 :(得分:4)

我实际上发了一封邮件给kerberos@mit.edu来帮助我,这是他们推荐的。

此代码导入了krb5主体名称,但带有 名称类型,表示基于GSS主机的服务名称。 (gss_nt_service 名称拼写更恰当GSS_C_NT_HOSTBASED_SERVICE;我不确定 为什么Microsoft文档使用古老的标识符。)

我们可以执行以下操作之一:

  1. 不要导入名称或获取信用卡。将GSS_C_NO_CREDENTIAL传递给 gss_accept_sec_context()作为验证者cred句柄。客户会 能够对密钥表中的任何密钥进行身份验证,因此请确保 keytab不包含无关的条目。这是方法 大多数Kerberos开发人员推荐。

  2. 使用GSS_KRB5_NT_PRINCIPAL_NAME名称类型代替 gss_nt_service_name,以将导入的名称视为krb5 主要名称。

  3. 使用基于GSS主机的服务名称而不是主体名称。该 基于主机的服务名称可能类似于“gss@dell-vostro-155.domain.com” 对于这个键(虽然“gss”并不是真正适合的第一个组件 没有命名服务协议)。使用麻省理工学院krb5 1.10+,你也可以 只需指定第一个组件(在本例中为“gss”),允许 客户端对与第一个组件匹配的任何keytab条目进行身份验证。

    4. 更多信息,请参阅 http://web.mit.edu/kerberos/krb5-latest/doc/appdev/gssapi.html 特别是“名称类型”和“接受者名称”部分。

    我使用GSS_KRB5_NT_PRINCIPAL_NAME让事情有效。

相关问题
最新问题