“检测到GSSException缺陷令牌” - 当尝试使用Kerberos向在Windows上运行的Tomcat进行身份验证时
在Windows 2012上运行时,我正在努力向Java Web容器进行身份验证(我尝试过Tomcat和Jetty)。
每次尝试协商身份验证方案时,我都会收到一个错误:org.ietf.jgss.GSSException: Defective token detected (Mechanism level: GSSHeader did not find the right tag)
重现步骤
首先设置 Windows Server 2012 或 2016 实例并安装 Active Directory 域服务。
在我的示例中,我创建了:
NETBIOS Domain:尼基斯
域名:nickis.life
在 Active Directory 上创建 kerberos 主题用户
重要提示:请确保名字、姓氏和全名相同!
在我的情况下,新用户是:
断续器 = CN=kerberos500,CN=Users,DC=nickis,DC=life
登录+域名 = kerberos500@nickis.life
NETBIOS\samAccountName = NICKIS\kerberos500
从 Windows Active Directory Server 运行 setspn 命令
setspn -A HTTP/nickis.life@NICKIS.LIFE kerberos500
输出示例:
C:\Users\Administrator>setspn -A HTTP/nickis.life kerberos500
Checking domain DC=nickis,DC=life
Registering ServicePrincipalNames for CN=kerberos500,CN=Users,DC=nickis,DC=life
HTTP/kerberos500.nickis.life
Updated object
从 Windows Active Directory Server 运行 ktpass 命令
ktpass -out c:\Users\Administrator\kerberos500.keytab -princ HTTP/nickis.life@NICKIS.LIFE -mapUser kerberos500 -mapOp set -pass XXXXpasswordforkerberos500userXXXX -crypto DES-CBC-MD5 -pType KRB5_NT_PRINCIPAL +DesOnly
输出示例:
C:\Users\Administrator>ktpass -out c:\Users\Administrator\kerberos500.keytab -princ HTTP/nickis.life@NICKIS.LIFE -mapUser kerberos500 -mapOp set -pass xxxxxxxx -crypto DES-CBC-MD5 -pType KRB5_NT_PRINCIPAL +DesOnly
Targeting domain controller: WIN-OVV6VHBGIB8.nickis.life
Using legacy password setting method
Successfully mapped HTTP/kerberos500.nickis.life to kerberos500.
Key created.
Output keytab to c:\Users\Administrator\kerberos500.keytab:
Keytab version: 0x502
keysize 71 HTTP/kerberos500.nickis.life@NICKIS.LIFE ptype 1 (KRB5_NT_PRINCIPAL) vno 3 etype 0x3 (DES-CBC-MD5) keylength 8 (0xcd07200bea625d20)
Account kerberos500 has been set for DES-only encryption.
此时,您现在将拥有一个密钥表文件:
c:\Users\Administrator\kerberos500.keytab
和用户主体:
HTTP/kerberos500.nickis.life@NICKIS.LIFE
这些是向 GSSApi 提供使用 Kerberos 进行单点登录所需的 2 个输入。
因此,我在Hadoop安全模块中将这些输入部署到我的Web容器的kerberos安全领域。
卷曲测试我试图使用curl来测试它,但没有成功:
curl --negotiate -u : http://nickis.life:8080/my/webapp
互联网浏览器测试我也尝试过使用Internet Explorer。我在 Internet Explorer 中将域添加到“受信任的角色”。。然后我在Internet Explorer中启动该网站:http://nickis.life:8080nickis.life
无论哪种方式,我都会得到以下错误:
org.apache.hadoop.security.authentication.client.AuthenticationException: GSSException: Defective token detected (Mechanism level: GSSHeader did not find the right tag)
at org.apache.hadoop.security.authentication.server.KerberosAuthenticationHandler.authenticate(KerberosAuthenticationHandler.java:398) ~[hadoop-auth-2.7.1.jar:?]
...
Caused by: org.ietf.jgss.GSSException: Defective token detected (Mechanism level: GSSHeader did not find the right tag)
at sun.security.jgss.GSSHeader.<init>(Unknown Source) ~[?:1.8.0_131]
at sun.security.jgss.GSSContextImpl.acceptSecContext(Unknown Source) ~[?:1.8.0_131]
at sun.security.jgss.GSSContextImpl.acceptSecContext(Unknown Source) ~[?:1.8.0_131]
at org.apache.hadoop.security.authentication.server.KerberosAuthenticationHandler$2.run(KerberosAuthenticationHandler.java:365) ~[hadoop-auth-2.7.1.jar:?]
at org.apache.hadoop.security.authentication.server.KerberosAuthenticationHandler$2.run(KerberosAuthenticationHandler.java:347) ~[hadoop-auth-2.7.1.jar:?]
at java.security.AccessController.doPrivileged(Native Method) ~[?:1.8.0_131]
at javax.security.auth.Subject.doAs(Unknown Source) ~[?:1.8.0_131]
at org.apache.hadoop.security.authentication.server.KerberosAuthenticationHandler.authenticate(KerberosAuthenticationHandler.java:347) ~[hadoop-auth-2.7.1.jar:?]
我很困惑。注意:我在这里和那里找到了几个链接,但没有一个像我在这里总结的那样,在所遵循的步骤上都是包罗万象的,而且其中提供的解决方案都没有为我工作。
- 我正在尝试从运行服务器的域上与服务器运行的计算机不同的计算机登录 kerberos
- 我已经尝试了各种组合的keytab生成变体,但没有一个有效。
- 没有重复的 SPN。
- 我尝试将域服务器中的 DNS 设置为记录。
A
- 我想知道也许是否有一些kerberos Windows服务器设置步骤,并且Microsoft员工验证了这里不应该出现这种情况:https://social.msdn.microsoft.com/Forums/sharepoint/en-US/db15ad96-e269-436e-952f-fe9dfb39da8a/setting-up-a-test-windows-server-active-directory-for-kerberos-testing?forum=winserverDS
任何人都可以追踪我在这里搞砸了什么吗?
更新:
- 我的 AD 服务器域设置为 ,而 AD 服务器是
fusionis.life
WIN-OVV6VHBGIB8.fusionis.life
- 我将tomcat服务器移动到域中的另一台Windows计算机。
DESKTOP-VTPBE99.fusionis.life
- 我打开并添加了一个带有“kerberos500.nickis.life”的“正向查找区域”,并将主机设置为框的IP。
dnsmgmt.msc
DESKTOP-VTPBE99.fusionis.life
- 我删除了AD帐户,重新创建它,然后按照票证上其中一个答案中的建议再次重新生成keytab。
C:\Users\Administrator>ktpass -out c:\Users\Administrator\kerberos500.keytab -princ HTTP/kerberos500.nickis.life@NICKIS.LIFE -mapUser kerberos500 -mapOp set -pass xxxxxxxxx -crypto ALL -pType KRB5_NT_PRINCIPAL
Targeting domain controller: WIN-OVV6VHBGIB8.fusionis.life
Using legacy password setting method
Successfully mapped HTTP/kerberos500.nickis.life to kerberos500.
Key created.
Key created.
Key created.
Key created.
Key created.
Output keytab to c:\Users\Administrator\kerberos500.keytab:
Keytab version: 0x502
keysize 67 HTTP/kerberos500.nickis.life@NICKIS.LIFE ptype 1 (KRB5_NT_PRINCIPAL) vno 4 etype 0x1 (DES-CBC-CRC) keylength 8 (0x04e30b9183ba8389)
keysize 67 HTTP/kerberos500.nickis.life@NICKIS.LIFE ptype 1 (KRB5_NT_PRINCIPAL) vno 4 etype 0x3 (DES-CBC-MD5) keylength 8 (0x04e30b9183ba8389)
keysize 75 HTTP/kerberos500.nickis.life@NICKIS.LIFE ptype 1 (KRB5_NT_PRINCIPAL) vno 4 etype 0x17 (RC4-HMAC) keylength 16 (0xe39a141de38abd8750bf9c0bf49fd1c5)
keysize 91 HTTP/kerberos500.nickis.life@NICKIS.LIFE ptype 1 (KRB5_NT_PRINCIPAL) vno 4 etype 0x12 (AES256-SHA1) keylength 32 (0xe368a1b060cfe4816f522c1c5f62ca07fe201ed96c6d018054dfbd5b86251892)
keysize 75 HTTP/kerberos500.nickis.life@NICKIS.LIFE ptype 1 (KRB5_NT_PRINCIPAL) vno 4 etype 0x11 (AES128-SHA1) keylength 16 (0x1b1a548fa2893a78c6f4c7f9c482b614)
我在服务器上保存了密钥表更新的文件,然后将服务主体更新为
HTTP/kerberos500.nickis.life@NICKIS.LIFE
我以域用户身份登录到tomcat计算机,将 http://kerberos500.nickis.life 添加到受信任的站点,然后导航到 http://kerberos500.nickis.life:8764
我检查了kerberos500 AD“帐户”选项卡中加密复选框的所有组合。
现在我得到一个新的错误...
GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos credentails)
更新:
终于解决了。我得到了这个最后一个错误,因为我需要在同一台主机上fusionis.life
nickis.life