如何手动测试用于tomcat SSO的kerberos SPI

Question

我正在尝试调试我的spring-security-kerberos web应用程序，它在Centos5.5上的tomcat6上运行，并且在我在windows2008ad上生成的keytab中有一个服务主体。我想在tomcat外部测试密钥，以帮助隔离问题(Spring不能很好地处理密钥)。

我可以使用ktutil程序列出密钥，并在表中查看中的主体，但无法验证它是否真正工作。

Answer 1

我正在翻阅老问题，偶然发现了这个问题。所以您已经用kutil列出了密钥。要验证Kerberos密钥表文件中的主体是否正常工作，可以运行以下命令：kinit -k -t <key table file name> <SPN>。

例如，如果您的SPN为HTTP/omehost.mydomain.com，密钥表文件名为myfilename.keytab，则您的命令将为：

kinit -k -t myfilename.keytab HTTP/somehost.mydomain.com

这是一个完全在Tomcat之外的简单Kerberos测试(它满足您的需求)，并验证您的DNS、AD、krb5.conf和keytab (包括principle inside)都设置正确。