GSSException：[..]不支持/启用HMAC SHA1 1-96的加密类型AES256CTS模式。

Question

在将域用户设置为支持Kerberos令牌(WindowsServer2008R2)的AES加密之后，在web应用服务器端，我们将得到以下异常：

GSSException: GSS级别上未指定的失败(机制级别:不支持/启用HMAC SHA1-96的加密类型AES256CTS模式)

奇怪的是，我们有Java 6 (1.6.0_27)，这意味着应该支持AES，根据本文：http://docs.oracle.com/javase/6/docs/technotes/guides/security/jgss/jgss-features.html

我们的web应用程序、Java或第三方缺少什么想法？我们正在使用扩展(为了适应当前的Spring2.x版本和附加的身份验证需求，只需进行最少的代码修改)。

Answer 1

编辑 (2017-05-06)：即将推出的JDK版本将包括此内容。只需要设置一个配置参数，请参见JDK-8157561。

遵循此链接- Java下载，向下滚动并下载特定JDK版本的无限强度管辖权策略文件，并遵循本教程中题为：5.4.2.Kerberos和无限兵力策略的过程。

基本步骤如下：

1. 找到JDK的安全目录(下面显示Unix )： $找到'jre/lib/security‘区/ grep 'lib/security$’/usr/java/jdk1.7.0_17/jre/lib/security /usr/lib/jvm/java-1.5.0-gcj-1.5.0.0/jre/lib/security /usr/lib/jvm/java-1.6.0-openjdk-1.6.0.0.x86_64/jre/lib/security /usr/lib/jvm/java-1.7.0-openjdk-1.7。0.9.x8664/jre/lib/security
2. 注意到上面的内容，我们需要将下载的JCE .jar文件添加到/usr/java/jdk1.7.0_17/jre/lib/security中。
3. JCE .zip文件包括以下内容(显示JDK1.7的JCE)： $ ls -l UnlimitedJCEPolicy共计16 -rw-rw-r-1根2500 2011年5月31日local_policy.jar -rw-r-1根7289 2011年5月31日README.txt -rw-rw-r-1根根2487 2011年5月31日US_export_policy.jar
4. 这些是与JDK捆绑的版本(同样是1.7)： $ ls -l /usr/java/jdk1.7.0_17/jre/lib/security/*..jar rw r-。1根根2865,2013年3月1日/usr/java/jdk1.7.0_17/jre/lib/security/local_policy.jar -rw-r-r-。1根根2397 2013年3月1日/usr/java/jdk1.7.0_17/jre/lib/security/US_export_policy.jar
5. 我们需要将它们移开，并将它们替换为JCE .zip文件中包含的版本。我通常做以下几件事： $ pushd /usr/java/jdk1.7.0_17/jre/lib/security/ /usr/java/jdk1.7.0_17/jre/lib/security ~$ mkdir限制$ mv *.jar limited/ $ cp ~/UnlimitedJCEPolicy/*..jar。$ ls -l *.jar -rw-r-r-1根根2500六月25 12:50 local_policy.jar -rw-r-1根2487六月25 12:50 US_export_policy.jar
6. 重新启动使用JDK (Tomcat等)的任何东西。