Kerberos после обновления с Java6 до Java7

У меня есть рабочее приложение, использующее расширение spring -security kerberos, работающее на jboss, запуск java 6.

Я в процессе обновления jvm от java 6 до java 7. Когда я это делаю, используя ту же базу кода и ту же самую keytab, которая работала на java 6, теперь я получаю сообщение об ошибке при использовании java 7.

Я последовательно получаю: java.security.PrivilegedActionException: GSSException: ошибка не указана на уровне GSS-API (Уровень механизма: неверный аргумент (400) - Невозможно найти ключ соответствующего типа для расшифровки AP REP - RC4 с помощью HMAC)

Я попытался восстановить keytab с различными/криптографическими параметрами, которые были описаны на других форумах, но безрезультатно.

Я отлаживал код java 7, и действительно, классы, которые занимаются чтением keytab при запуске, изменились с 6 на 7. Может ли быть так, что мой keytab не читается в приложении правильно? Некоторые сообщения об отладке, которые я вижу при запуске с использованием Java6, больше не отображаются в 7, но я не могу сказать, работает ли это по дизайну или если это указывает на то, что что-то еще играет в игру? У кого-то еще были проблемы с обновлением с 6 до 7, и их интеграция с кеберосом нарушала их? Любые советы?

При запуске отладки spnego и kerberos для запуска мой журнал показывает:

2012-12-10 10:29:30,886  Debug is  true storeKey true useTicketCache false useKeyTab true doNotPrompt true ticketCache is null isInitiator false KeyTab is jndi:/localhost/docfinity/WEB-INF/classes/config/common/security/http-docfinity.keytab refreshKrb5Config is false principal is HTTP/[email protected] tryFirstPass is false useFirstPass is false storePass is false clearPass is false
2012-12-10 10:30:26,322  principal is HTTP/[email protected]
2012-12-10 10:30:29,794  Will use keytab
2012-12-10 10:30:29,807  Ordering keys wrt default_tkt_enctypes list
2012-12-10 10:30:29,821  Config name: C:\Windows\krb5.ini
2012-12-10 10:30:29,827  Using builtin default etypes for default_tkt_enctypes
2012-12-10 10:30:29,832  default etypes for default_tkt_enctypes:
2012-12-10 10:30:29,837   17    aes128-cts-hmac-sha1-96
2012-12-10 10:30:29,839   16    des3-cbc-sha1-kd
2012-12-10 10:30:29,842   23    rc4-hmac
2012-12-10 10:30:29,846   1     des-cbc-crc
2012-12-10 10:30:29,849   3     des-cbc-md5
2012-12-10 10:30:29,851  .
2012-12-10 10:30:29,855  Commit Succeeded

Еще один вопрос - вы увидите, что он пытается прочитать C:\Windows\krb5.ini. У меня нет такого файла на моем сервере. Нужен ли он мне? У меня не было одного с java 6, и это сработало.

Aaron

Ответ 1

Да! Мы закрепили SunJaasKerberosTicketValidator, чтобы выглядеть так:

String keyTabPath = this.keyTabLocation.getURL().toExternalForm();
String runtimeVersion = System.getProperty("java.version");
if (runtimeVersion.startsWith("1.7")) 
{
      LOG.info("Detected jdk 7. Modifying keytabpath");
      if (keyTabPath != null)
      {
        if (keyTabPath.startsWith("file:")) 
        {
            keyTabPath = keyTabPath.substring(5);
        }
      }
}
LOG.info("KeyTabPath: " + keyTabPath);
LoginConfig loginConfig = new LoginConfig(keyTabPath, this.servicePrincipal,
                this.debug);

Ответ 2

Вот две потенциальные проблемы, которые могут повлиять на вас:

Java 7, похоже, переключает порядок шифрования по умолчанию. Подробности:
- Ошибка Java 7 Kerberos - AES128 Коррумпированная контрольная сумма
Вы не сказали, какую конкретную версию JDK 7 вы используете, но в ранних версиях JDK 7 была ошибка, которая предотвратила загрузку файлов keytab с помощью URL-адреса "file:":
- http://bugs.sun.com/bugdatabase/view_bug.do?bug_id=2221392

Другой пользователь на SO работал вокруг последней проблемы, изменив Spring source:

BadCredentialsException: проверка подлинности Kerberos не является успешной

Ответ 3

Измените объект keyTabLocation на строку.

So private String keyTabLocaiton.

      @Override
        public void afterPropertiesSet() throws Exception {
            Assert.notNull(this.servicePrincipal, "servicePrincipal must be specified");
            Assert.notNull(this.keyTabLocation, "keyTab must be specified");
            // if (keyTabLocation instanceof ClassPathResource) {
            // LOG.warn("Your keytab is in the classpath. This file needs special protection and shouldn't be in the classpath. JAAS may also not be able to load this file from classpath.");
            // }
            LoginConfig loginConfig = new LoginConfig(this.keyTabLocation, this.servicePrincipal,
                    this.debug);
            Set<Principal> princ = new HashSet<Principal>(1);
            princ.add(new KerberosPrincipal(this.servicePrincipal));
            Subject sub = new Subject(false, princ, new HashSet<Object>(), new HashSet<Object>());
            LoginContext lc = new LoginContext("", sub, null, loginConfig);
            lc.login();
            this.serviceSubject = lc.getSubject();
        }

Также, где парень LoginConfig, установите флаг isInitiator в true.

 public AppConfigurationEntry[] getAppConfigurationEntry(String name) {
            HashMap<String, String> options = new HashMap<String, String>();
            options.put("useKeyTab", "true");
            options.put("keyTab", this.keyTabLocation);
            options.put("principal", this.servicePrincipalName);
            options.put("storeKey", "true");
            options.put("doNotPrompt", "true");
            if (this.debug) {
                options.put("debug", "true");
            }
            options.put("isInitiator", "true");
            //options.put("isInitiator", "false");

            return new AppConfigurationEntry[] { new AppConfigurationEntry("com.sun.security.auth.module.Krb5LoginModule",
                    AppConfigurationEntry.LoginModuleControlFlag.REQUIRED, options), };
        }

Надеюсь, это поможет вам исправить вашу проблему.