Spring Boot和Kerberos-KrbException:default_tkt_enctypes不支持默认etypes

时间:2019-02-21 14:45:45

标签: spring-boot apache-kafka kerberos

我正在使用 Spring Boot 1.5.6.RELEASE 应用通过Kerberos身份验证将邮件发送到 Kafka 0.11 。 这是我的kafka-jaas.conf

KafkaClient{
  com.sun.security.auth.module.Krb5LoginModule required
  useKeyTab=true
  storeKey=true
  useTicketCache=true
  keyTab="/home/tomi/user-matXp.com.keytab"
  principal="user/matXp.com@COM";
};

还有application.yml

spring:
  kafka:
    bootstrap-servers: "kafka-server.com:9092"
    producer:
      value-serializer: org.springframework.kafka.support.serializer.JsonSerializer
    properties:
      security.protocol: SASL_SSL
      sasl.mechanism: GSSAPI
      sasl.kerberos.service.name: kafka

我正在这样启动应用程序:

-java -jar -Djava.security.auth.login.config=/home/tomi/kafka-jaas.conf
-Djava.security.krb5.conf=/home/tomi/krb5.conf 
kafka-0.0.1-SNAPSHOT.jar &> output.log&

尝试发送消息时,我得到sun.security.krb5.KrbException: no supported default etypes for default_tkt_enctypes

在我的krb5.conf中,default_tkt_enctypes被定义为aes256-cts-hmac-sha1-96。 我试图在krb5.conf中注释掉该行,但随后得到sun.security.krb5.Asn1Exception: Identifier doesn't match expected value (906)

有什么办法解决这个问题吗?

1 个答案:

答案 0 :(得分:1)

问题是未包含JCE无限力量政策。默认情况下处于禁用状态。

解决方案是在crypto.policy=unlimited中取消注释$JAVA_HOME/jre/lib/security/java.security。 也可以使用Security.setProperty("crypto.policy", "unlimited");在应用中完成此操作。

相关问题
最新问题