我正在尝试使用针对Active Directory的测试Kerberos客户端/服务器对。我在公司网络中的备用域中创建了三个用户,“RichardC”,“Server1”和“Server2”。我的服务器用户已映射到不同的服务主体名称,一个使用KRB5_NT_PRINCIPAL,另一个使用KRB5_NT_SRV_HOST。
ktpass -out server2.keytab
-princ server2/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL
-mapuser ServerUser2@BENCHMARKING.RDDEV.LOCAL
-pass ThePassword
-crypto All
-pType KRB5_NT_SRV_HOST
-kvno 2
这次我没有使用+ DesOnly选项,希望在今天的系统中我不需要DES。我在这个问题中用mydomain替换了真实的域名,以避免管理问题。
这给了我一个密钥表。我可以把它列出来:
KVNO Principal
---- --------------------------------------------------------------------------
2 server2/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL (DES cbc mode with CRC-32)
2 server2/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL (DES cbc mode with RSA-MD5)
2 server2/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL (ArcFour with HMAC/md5)
2 server2/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL (AES-256 CTS mode with 96-bit SHA-1 HMAC)
2 server2/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL (AES-128 CTS mode with 96-bit SHA-1 HMAC)
我甚至可以使用kinit -k使用keytab中的密钥登录 - 所以它似乎有效。
我有自己的测试程序,并且没有http://download.oracle.com/docs/cd/E19683-01/816-1331/sampleprogs-1/index.html的测试程序。在该程序中,在服务器上,我已使用两个键盘将GSS_C_NT_HOSTBASED_SERVICE更改为GSS_C_NT_USER_NAME,以使其识别名称。我正在运行Oracle Demo服务器
./gss-server -mech 1.2.840.113554.1.2.2 server2/serbia.mydomain.com
和客户
./gss-client -mech 1.2.840.113554.1.2.2 serbia.mydomain.com server2 "Hello"
结果:
GSS-API error accepting context: Invalid credential was supplied
GSS-API error accepting context: Service key not available
在这种情况下和我自己的测试代码中,错误发生在客户端发送第一个令牌之后,而服务器正在尝试解码它。
klist显示为客户授予的密钥。它正在使用ArcFour,它位于keytab
中Default principal: RichardC@BENCHMARKING.RDDEV.LOCAL
Valid starting Expires Service principal
07/25/11 17:36:49 07/26/11 03:35:18 krbtgt/BENCHMARKING.RDDEV.LOCAL@BENCHMARKING.RDDEV.LOCAL
renew until 08/01/11 17:36:49
07/25/11 17:36:03 07/26/11 03:35:18 server2/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL
renew until 08/01/11 17:36:03
UNIX机器(塞尔维亚)可以想象属于另一个领域(我在这里称为mydomain.com),虽然它似乎没有设置Kerberos。我使用的是本地krb5.conf文件,我已经指向了BENCHMARKING.RDDEV.LOCAL域,但是如果机器试图使用带有主机名的DNS,它可能会得到错误的答案。我的krb5.conf有
[libdefaults]
default_keytab_name = /users/dev/core/richardc/server1.keytab
default_realm = BENCHMARKING.RDDEV.LOCAL
dns_lookup_kdc = false
default_tkt_types = DES-CBC-MD5
[realms]
BENCHMARKING.RDDEV.LOCAL = {
kdc = gbha-dcbench01p.benchmarking.rddev.local
admin_server = gbha-dcbench01p.benchmarking.rddev.local
}
[domain_realm]
benchmarking.rddev.local = BENCHMARKING.RDDEV.LOCAL
.benchmarking.rddev.local = BENCHMARKING.RDDEV.LOCAL
mydomain.com = BENCHMARKING.RDDEV.LOCAL
.mydomain.com = BENCHMARKING.RDDEV.LOCAL
看起来像default_tkt_types这样的选项无效。
问题是 - 如何修复错误?
由于 - 理查德
答案 0 :(得分:3)
问题在于
ktpass -out server2.keytab
-princ server2/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL
-mapuser ServerUser2@BENCHMARKING.RDDEV.LOCAL
-pass ThePassword
-crypto All
-pType KRB5_NT_SRV_HOST
-kvno 2
这会导致Windows增加密钥版本号。由于某种原因,生成的密钥对于“kinit -k”登录不是问题,但是导致GSS-API服务器代码失败,并且Solaris系统上的“服务密钥不可用”无用。
Windows系统是2008R2。据我所知,不同版本的Windows之间此命令的行为有所不同。
我已成功通过DesOnly测试。我需要回到可怜的陷入困境的IT部门进行任何其他测试:-)
解决方案是错过-kvno参数。
ktpass -out server4.keytab
-princ server4/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL
-mapuser ServerUser4@BENCHMARKING.RDDEV.LOCAL
-pass ThePassword
-crypto DES-CBC-MD5
-pType KRB5_NT_USER_PRINCIPAL
这给出了输出
Targeting domain controller: GBHA-DCBENCH01P.benchmarking.rddev.local
Using legacy password setting method
Successfully mapped server4/serbia.mydomain.com to Server4.
Key created.
Output keytab to server4.keytab:
Keytab version: 0x502
keysize 79 server4/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL ptype 1
(KRB5_NT_PRINCIPAL) vno 5 etype 0x3 (DES-CBC-MD5) keylength 8 (0xd1532a6d0f2a8631)
Account Server4 has been set for DES-only encryption.
请注意输出中的“vno 5”。
我已经测试了-pType的两个值。两者都有效。
我的GSS代码使用的是GSS_C_NT_HOSTBASED_SERVICE,但所有这些似乎都改变了输入名称所需的格式。
(我已更改上面的密钥)
我的最终解决方案使用-pType KRB5_NT_USER_PRINCIPAL
我的GSS代码使用GSS_C_NT_USER_NAME查找名称,并指定全名 server4 /serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL 。我发现并非所有正在处理的平台都接受了GSS_C_NT_HOSTBASED_SERVICE,但他们都接受了GSS_C_NT_USER_NAME。
安装我们的服务器应用程序的人将服务器主体名称设置为配置选项。这似乎是最可靠的方式。设置密钥的人,知道它是什么,直接告诉应用程序使用什么密钥。