使用Kerberos进行身份验证时出现登录错误

Question

我们正面临一个有趣的问题。用户使用Kerberos身份验证登录到应用程序。有几次他们成功了，但是突然他们的用户登录信息面临锁定，他们在屏幕上看到了下面的错误

Login error: com.ibm.security.krb5.KrbException, status code: 24
    message: Pre-authentication information was invalid
Stack Trace : 
javax.security.auth.login.FailedLoginException: Login error: com.ibm.security.krb5.KrbException, status code: 24
    message: Pre-authentication information was invalid
    at com.ibm.security.jgss.i18n.I18NException.throwFailedLoginException(I18NException.java:33)
    at com.ibm.security.auth.module.Krb5LoginModule.a(Krb5LoginModule.java:457)
    at com.ibm.security.auth.module.Krb5LoginModule.b(Krb5LoginModule.java:377)
    at com.ibm.security.auth.module.Krb5LoginModule.login(Krb5LoginModule.java:200)
    at sun.reflect.GeneratedMethodAccessor36.invoke(Unknown Source)
    at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:56)
    at java.lang.reflect.Method.invoke(Method.java:620)
    at javax.security.auth.login.LoginContext.invoke(LoginContext.java:781)
    at javax.security.auth.login.LoginContext.access$000(LoginContext.java:215)
    at javax.security.auth.login.LoginContext$4.run(LoginContext.java:706)
    at javax.security.auth.login.LoginContext$4.run(LoginContext.java:704)
    at java.security.AccessController.doPrivileged(AccessController.java:452)

当我们重新启动websphere application servers时，所有东西都为相同的用户工作，直到他们再次面临这个问题。我们已尝试检查日志和更改密钥表文件，但都不起作用。有人遇到过这个问题吗？

Answer 1

它可能与时间(NTP)问题有关。

据我所知，Kerberos预认证使用时间戳(以生成一次性密码)，因此我打赌NTP问题可能会导致这种问题。

此外，我认为没有销毁凭据可能会导致这样的问题(例如，用户没有正确注销)

检查您的所有服务器(运行应用程序的appservers，以及Kerberos KDC)是否与NTP服务器同步，并且具有完全相同的时间。