文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >GSS-API接受上下文时出错:服务密钥不可用- Solaris代码,Windows KDC

GSS-API接受上下文时出错:服务密钥不可用- Solaris代码,Windows KDC
EN

Stack Overflow用户
提问于 2011-07-26 01:06:53
回答 1查看 1.8K关注 0票数 3

我正在尝试获取针对Active Directory的测试Kerberos客户端/服务器对。我在公司网络的备用域中创建了三个用户"RichardC“、"Server1”和"Server2“。我的服务器用户被映射到不同的服务主体名称,一个使用KRB5_NT_PRINCIPAL,另一个使用KRB5_NT_SRV_HOST。

代码语言:javascript
复制
ktpass -out server2.keytab 
          -princ server2/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL
          -mapuser ServerUser2@BENCHMARKING.RDDEV.LOCAL
          -pass ThePassword
          -crypto All
          -pType KRB5_NT_SRV_HOST
          -kvno 2

我这次没有使用+DesOnly选项,希望在今天的系统中我不需要DES。为了避免管理上的顾虑,我在这个问题中用mydomain代替了真实的域名。

这给了我一个密钥表。我可以列出它:

代码语言:javascript
复制
KVNO Principal
---- --------------------------------------------------------------------------
   2 server2/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL (DES cbc mode with CRC-32)
   2 server2/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL (DES cbc mode with RSA-MD5)
   2 server2/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL (ArcFour with HMAC/md5)
   2 server2/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL (AES-256 CTS mode with 96-bit SHA-1 HMAC)
   2 server2/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL (AES-128 CTS mode with 96-bit SHA-1 HMAC)

我甚至可以使用kinit -k来使用密钥表中的密钥进行登录-所以它看起来是有效的。

我既有自己的测试程序,也有来自http://download.oracle.com/docs/cd/E19683-01/816-1331/sampleprogs-1/index.html的测试程序。在该程序中,在服务器上,我使用两个键将GSS_C_NT_HOSTBASED_SERVICE更改为GSS_C_NT_USER_NAME,以使其能够识别该名称。我以如下方式运行Oracle演示服务器

代码语言:javascript
复制
./gss-server -mech 1.2.840.113554.1.2.2 server2/serbia.mydomain.com

和客户端

代码语言:javascript
复制
./gss-client -mech 1.2.840.113554.1.2.2 serbia.mydomain.com server2 "Hello"

结果是:

代码语言:javascript
复制
GSS-API error accepting context: Invalid credential was supplied
GSS-API error accepting context: Service key not available

在本例和我自己的测试代码中,错误都发生在客户端发送了它的第一个令牌之后,而服务器正在尝试解码它。

klist显示授权给客户端的密钥。它使用的是密钥表中的ArcFour

代码语言:javascript
复制
Default principal: RichardC@BENCHMARKING.RDDEV.LOCAL

Valid starting                Expires                Service principal
07/25/11 17:36:49  07/26/11 03:35:18  krbtgt/BENCHMARKING.RDDEV.LOCAL@BENCHMARKING.RDDEV.LOCAL
    renew until 08/01/11 17:36:49
07/25/11 17:36:03  07/26/11 03:35:18  server2/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL
    renew until 08/01/11 17:36:03

可以想象,UNIX机器(Serbia)可能属于另一个领域(我在这里称之为mydomain.com ),尽管它似乎没有设置Kerberos。我使用的是一个本地的krb5.conf文件,我已经将该文件指向了DNS域,但是如果机器尝试将BENCHMARKING.RDDEV.LOCAL与其主机名一起使用,它可能会得到错误的答案。我的krb5.conf有

代码语言:javascript
复制
[libdefaults]
    default_keytab_name = /users/dev/core/richardc/server1.keytab
    default_realm = BENCHMARKING.RDDEV.LOCAL
    dns_lookup_kdc = false
    default_tkt_types = DES-CBC-MD5

[realms]
BENCHMARKING.RDDEV.LOCAL = {
    kdc = gbha-dcbench01p.benchmarking.rddev.local
    admin_server = gbha-dcbench01p.benchmarking.rddev.local
}

[domain_realm]
benchmarking.rddev.local = BENCHMARKING.RDDEV.LOCAL
.benchmarking.rddev.local = BENCHMARKING.RDDEV.LOCAL
mydomain.com = BENCHMARKING.RDDEV.LOCAL
.mydomain.com = BENCHMARKING.RDDEV.LOCAL

看起来像default_tkt_types这样的选项已经失效了。

问题是-我如何修复我的错误?

谢谢-理查德

c
kerberos
gssapi
EN

回答 1

Stack Overflow用户

回答已采纳

发布于 2011-07-26 22:56:46

问题出在

代码语言:javascript
复制
ktpass -out server2.keytab 
      -princ server2/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL
      -mapuser ServerUser2@BENCHMARKING.RDDEV.LOCAL
      -pass ThePassword
      -crypto All
      -pType KRB5_NT_SRV_HOST
      -kvno 2

这会导致Windows增加密钥版本号。由于某些原因,生成的密钥对于"kinit“登录并不是问题,但确实会导致-k服务器代码失败,并在Solaris系统上显示无用的"Service key not available”。

Windows系统为2008R2。我知道此命令的行为在不同的Windows版本之间有所不同。

我已经成功地用DesOnly进行了测试。我需要回到贫穷的四面楚歌的IT部门进行任何其他测试:-)

解决方案是忽略-kvno参数。

代码语言:javascript
复制
 ktpass -out server4.keytab 
      -princ server4/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL
      -mapuser ServerUser4@BENCHMARKING.RDDEV.LOCAL
      -pass ThePassword
      -crypto DES-CBC-MD5
      -pType KRB5_NT_USER_PRINCIPAL

这给出了输出

代码语言:javascript
复制
Targeting domain controller: GBHA-DCBENCH01P.benchmarking.rddev.local
Using legacy password setting method
Successfully mapped server4/serbia.mydomain.com to Server4.
Key created.
Output keytab to server4.keytab:
Keytab version: 0x502
keysize 79 server4/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL ptype 1
     (KRB5_NT_PRINCIPAL) vno 5 etype 0x3 (DES-CBC-MD5) keylength 8 (0xd1532a6d0f2a8631)
Account Server4 has been set for DES-only encryption.

注意输出中的"vno 5“。

我已经对-pType的这两个值进行了测试。这两种方法都有效。

我的GSS代码使用的是GSS_C_NT_HOSTBASED_SERVICE,但所有这些似乎都改变了输入名称所需的格式。

(我已经更改了上面的密钥)

附录

我的最终解决方案使用-pType KRB5_NT_USER_PRINCIPAL

我的GSS代码使用GSS_C_NT_USER_NAME查找名称,我指定了全名server4/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL.我发现并非我工作的所有平台都接受GSS_C_NT_HOSTBASED_SERVICE,但它们都接受GSS_C_NT_USER_NAME。

安装服务器应用程序的人员将服务器主体名称设置为配置选项。这似乎是最可靠的方式。设置密钥的人知道它是什么,直接告诉应用程序要使用哪个密钥。

票数 3
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/6819790

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档