新KerberosToken上格式错误的PAC登录信息

Question

我使用代码这里从Kerberos令牌获取身份验证信息。在这里，我配置了domainUsername和domainUserPassword，并按照readme.md中指定的方式运行它。

然后，在AD域中的浏览器中，我连接到http://server:8080/spnego，在打开的页面上看到我的用户名@域。该页面还应该包含我的用户所属的AD组的SID。

查看服务器日志，我看到：

org.jaaslounge.decoding.DecodingException: Malformed PAC logon info.
    at org.jaaslounge.decoding.pac.PacLogonInfo.<init>(PacLogonInfo.java:209)
    at org.jaaslounge.decoding.pac.Pac.<init>(Pac.java:45)
    at org.jaaslounge.decoding.kerberos.KerberosPacAuthData.<init>(KerberosPacAuthData.java:13)
    at org.jaaslounge.decoding.kerberos.KerberosAuthData.parse(KerberosAuthData.java:21)
    at org.jaaslounge.decoding.kerberos.KerberosRelevantAuthData.<init>(KerberosRelevantAuthData.java:41)
    at org.jaaslounge.decoding.kerberos.KerberosAuthData.parse(KerberosAuthData.java:18)
    at org.jaaslounge.decoding.kerberos.KerberosEncData.<init>(KerberosEncData.java:136)
    at org.jaaslounge.decoding.kerberos.KerberosTicket.<init>(KerberosTicket.java:103)
    at org.jaaslounge.decoding.kerberos.KerberosApRequest.<init>(KerberosApRequest.java:62)
    at org.jaaslounge.decoding.kerberos.KerberosToken.<init>(KerberosToken.java:52)
    at com.example.ManualSpnegoNegotiateServlet.attemptNegotiation(ManualSpnegoNegotiateServlet.java:271)

第271行如下

KerberosToken token = new KerberosToken(kerberosTokenData, keys);

这个错误信息太模糊了。我不知道如何继续，我从不同的客户那里得到同样的错误。

有人知道这件事吗？

Answer 1

我自己想出来的。事实证明，“格式错误的PAC登录信息”消息实际上是正确的。代码在试图获取“资源组数据”时失败。

最初，我认为信息结构自上一次贾斯莱斯岛的实施编写以来已经发生了变化(2010年某个地方)。我认为这是因为MS规范根本没有提到这一点。

实际上，问题来自一个完全不同的地方: KDC。它运行在Win Server 2012上，微软在该版本中默认添加了资源SID压缩。

这里有，如果您关闭KDC上的资源SID压缩，所有东西都将开始工作(不需要接触其他任何东西，即jaaslounge的版本，或者用无限JCE策略修补hava )。