de contrôle ont échoué: Kerberos / Printemps / Active Directory (2008)

Nous rencontrez des difficultés à obtenir Kerberos/authentification AD de travailler avec un Printemps webapp, et je crois que le problème a à voir avec les types de chiffrement pour les tickets Kerberos et l'Active Directory niveau fonctionnel du domaine.

La configuration de base est:

Tomcat 7
Java 1.6 (29)
Windows Server 2008 R2
Printemps 3.0
Printemps de Sécurité Kerberos/Spnego extension M2 détaillé ici: http://blog.springsource.com/2009/09/28/spring-security-kerberos/

J'ai un environnement où l'Active Directory niveau fonctionnel de domaine Windows Server 2003 et tout fonctionne bien, avec des clients de l'authentifier comme prévu, s'ils sont enregistrés sur le domaine. À l'aide de kerbtray pour examiner les billets dans cet environnement, je peux voir qu'ils ont tous les deux billets du type de chiffrement et la clé de chiffrement de type "RSADSI RC4-HMAC".

J'ai un nouveau domaine avec le niveau fonctionnel Windows Server 2008, et c'est là que l'authentification ne fonctionne pas. La demande de retour d'erreur lorsque vous tentez de valider le billet est:

Kerberos validation not successful...
Caused by: GSSException: Failure unspecified at GSS-API level (Mechanism level: Checksum failed)
at sun.security.jgss.krb5.Krb5Context.acceptSecContext(Unknown Source)
at sun.security.jgss.GSSContextImpl.acceptSecContext(Unknown Source)
at sun.security.jgss.GSSContextImpl.acceptSecContext(Unknown Source)
at sun.security.jgss.spnego.SpNegoContext.GSS_acceptSecContext(Unknown Source)
at sun.security.jgss.spnego.SpNegoContext.acceptSecContext(Unknown Source)
at sun.security.jgss.GSSContextImpl.acceptSecContext(Unknown Source)
at sun.security.jgss.GSSContextImpl.acceptSecContext(Unknown Source)
at org.springframework.security.extensions.kerberos.SunJaasKerberosTicketValidator$KerberosValidateAction.run(SunJaasKerberosTicketValidator.java:146)
at org.springframework.security.extensions.kerberos.SunJaasKerberosTicketValidator$KerberosValidateAction.run(SunJaasKerberosTicketValidator.java:136)
... 34 more
Caused by: KrbException: Checksum failed
at sun.security.krb5.internal.crypto.ArcFourHmacEType.decrypt(Unknown Source)
at sun.security.krb5.internal.crypto.ArcFourHmacEType.decrypt(Unknown Source)
at sun.security.krb5.EncryptedData.decrypt(Unknown Source)
at sun.security.krb5.KrbApReq.authenticate(Unknown Source)
at sun.security.krb5.KrbApReq.<init>(Unknown Source)
at sun.security.jgss.krb5.InitSecContextToken.<init>(Unknown Source)
... 43 more
Caused by: java.security.GeneralSecurityException: Checksum failed
at sun.security.krb5.internal.crypto.dk.ArcFourCrypto.decrypt(Unknown Source)
at sun.security.krb5.internal.crypto.ArcFourHmac.decrypt(Unknown Source)

La trace de la pile de montre "ArcfourCrypto.décrypter" donc, vraisemblablement, est de traiter le ticket Kerberos comme RC4-HMAC. À l'aide de kerbtray à nouveau pour examiner les billets de ce temps, il ya 2 billets sur le client pour le domaine: krbtgt/.COM. Les deux billets ont la clé de chiffrement de type RSADS1 RC4-HMAC, on a aussi cette pour billet type de cryptage, mais l'autre a "Kerberos AES256-CTS-HMAC-SHA1-96".

Je ne sais pas pour sûr que c'est la cause du problème, mais c'est la seule différence que j'ai pu trouver dans les deux environnements qui pourrait expliquer l'authentification de l'exception. J'ai essayé de changer l'ANNONCE politique de chiffrement, essayé IE et Firefox, et à peu près tout ce que je pouvais penser, mais rien n'a fonctionné.

Tout, contribuer à résoudre ce serait bien apprécié. Je préfère pour le fixer sur le java fin comme je l'ai probablement ne peut pas imposer trop de choses à propos de la production d'ANNONCE de l'installation.

Avez-vous vérifier la communication dans Wireshark et avoir les billets examiné?
Merci @Michael-O - j'ai fait d'utiliser Wireshark en travaillant sur cette plus tôt, mais n'ont pas la sortie plus disponible.Je n'ai pas pu obtenir que cela fonctionne à tous - je revenue sur le domaine de test de niveau fonctionnel Windows Server 2003, puis il a travaillé normalement. Maintenant j'ai besoin de la configuration d'une nouvelle 2008 domaine de test pour essayer de trouver une solution viable....

OriginalL'auteur slt | 2011-12-14

Le problème semble être dans le fichier keytab. Il ya quelques séquences d'action conduisant à certains fichier keytab états:
(A) keytab fonctionne avec Java, mais ne fonctionne pas avec k5start/kinit;
(B) le fichier keytab ne fonctionne pas avec Java, mais fonctionne avec k5start/kinit;
(C) keytab fonctionne à la fois avec eux.

Court code Java qui permet de vérifier si Java peut s'authentifier en utilisant le fichier keytab:

import java.io.File;
import java.io.FileInputStream;
import java.io.InputStream;
import java.util.HashMap;
import java.util.Map;
import java.util.Properties;
import javax.security.auth.Subject;
import com.sun.security.auth.module.Krb5LoginModule;
/**
* This is simple Java program that tests ability to authenticate 
* with Kerberos using the JDK implementation.
* 
* The program uses no libraries but JDK itself.
*/
public class Krb {
private void loginImpl(final String propertiesFileName) throws Exception {
System.out.println("NB: system property to specify the krb5 config: [java.security.krb5.conf]");
//System.setProperty("java.security.krb5.conf", "/etc/krb5.conf");
System.out.println(System.getProperty("java.version"));
System.setProperty("sun.security.krb5.debug", "true");
final Subject subject = new Subject();
final Krb5LoginModule krb5LoginModule = new Krb5LoginModule();
final Map<String,String> optionMap = new HashMap<String,String>();
if (propertiesFileName == null) {
//optionMap.put("ticketCache", "/tmp/krb5cc_1000");
optionMap.put("keyTab", "/etc/krb5.keytab");
optionMap.put("principal", "foo"); //default realm
optionMap.put("doNotPrompt", "true");
optionMap.put("refreshKrb5Config", "true");
optionMap.put("useTicketCache", "true");
optionMap.put("renewTGT", "true");
optionMap.put("useKeyTab", "true");
optionMap.put("storeKey", "true");
optionMap.put("isInitiator", "true");
} else {
File f = new File(propertiesFileName);
System.out.println("======= loading property file ["+f.getAbsolutePath()+"]");
Properties p = new Properties();
InputStream is = new FileInputStream(f);
try {
p.load(is);
} finally {
is.close();
}
optionMap.putAll((Map)p);
}
optionMap.put("debug", "true"); //switch on debug of the Java implementation
krb5LoginModule.initialize(subject, null, new HashMap<String,String>(), optionMap);
boolean loginOk = krb5LoginModule.login();
System.out.println("======= login:  " + loginOk);
boolean commitOk = krb5LoginModule.commit();
System.out.println("======= commit: " + commitOk);
System.out.println("======= Subject: " + subject);
}
public static void main(String[] args) throws Exception {
System.out.println("A property file with the login context can be specified as the 1st and the only paramater.");
final Krb krb = new Krb();
krb.loginImpl(args.length == 0 ? null : args[0]);
}
}

et le fichier de propriétés utilisation:

#ticketCache=/tmp/krb5cc_1000
keyTab=/etc/krb5.keytab
principal=foo
doNotPrompt=true
refreshKrb5Config=true
useTicketCache=true
renewTGT=true
useKeyTab=true
storeKey=true
isInitiator=true

(Ci-dessous, nous supposons que rcond/kdc est correctement installé et configuré, la base de données est créé avec kdb5_util. L'état de départ de chaque séquence de commande est: le fichier keytab supprimé, jeton de cache est supprimé, l'utilisateur "toto" est supprimé de la base de données.)

L'action suivante de la séquence conduit à la keytab de l'état (A):

$ echo -e "foo\nfoo" | kadmin.local -q "addprinc foo"
$ echo -e "foo\nfoo" | kadmin.local -q "ktadd foo"
$ java -cp . Krb ./krb5.properties 
# Now java auth okay, but the following command fails:
$ k5start foo
Kerberos initialization for foo@EXAMPLE.COM
Password for foo@EXAMPLE.COM: 
k5start: error getting credentials: Decrypt integrity check failed
$

L'action suivante de la séquence conduit à la keytab état (B):

$ echo -e "foo\nfoo" | kadmin.local -q "addprinc foo"
$ echo -e "foo\nfoo" | kadmin.local -q "ktadd foo"
$ echo -e "foo\nfoo" | kadmin.local -q "cpw foo"
$ java -cp . Krb ./krb5.properties 
A property file with the login context can be specified as the 1st and the only paramater.
NB: system property to specify the krb5 config: [java.security.krb5.conf]
1.6.0_33
======= loading property file [/tmp/krb-test/yhadoop-common/./krb5.properties]
Debug is  true storeKey true useTicketCache true useKeyTab true doNotPrompt true ticketCache is null isInitiator true KeyTab is /etc/krb5.keytab refreshKrb5Config is true principal is foo tryFirstPass is false useFirstPass is false storePass is false clearPass is false
Refreshing Kerberos configuration
Config name: /etc/krb5.conf
>>> KdcAccessibility: reset
>>> KdcAccessibility: reset
Acquire TGT from Cache
>>>KinitOptions cache name is /tmp/krb5cc_0
Principal is foo@EXAMPLE.COM
null credentials from Ticket Cache
>>> KeyTabInputStream, readName(): EXAMPLE.COM
>>> KeyTabInputStream, readName(): foo
>>> KeyTab: load() entry length: 49; type: 23
Added key: 23version: 3
Ordering keys wrt default_tkt_enctypes list
default etypes for default_tkt_enctypes: 23.
0: EncryptionKey: keyType=23 kvno=3 keyValue (hex dump)=
0000: 5F 7F 9B 42 BB 02 51 81   32 05 1D 7B C0 9F 19 C0  _..B..Q.2.......
principal's key obtained from the keytab
Acquire TGT using AS Exchange
default etypes for default_tkt_enctypes: 23.
>>> KrbAsReq calling createMessage
>>> KrbAsReq in createMessage
>>> KrbKdcReq send: kdc=localhost UDP:88, timeout=30000, number of retries =3, #bytes=128
>>> KDCCommunication: kdc=localhost UDP:88, timeout=30000,Attempt =1, #bytes=128
>>> KrbKdcReq send: #bytes read=611
>>> KrbKdcReq send: #bytes read=611
>>> KdcAccessibility: remove localhost:88
>>> EType: sun.security.krb5.internal.crypto.ArcFourHmacEType
Checksum failed !
[Krb5LoginModule] authentication failed 
Checksum failed
Exception in thread "main" javax.security.auth.login.LoginException: Checksum failed
at com.sun.security.auth.module.Krb5LoginModule.attemptAuthentication(Krb5LoginModule.java:696)
at com.sun.security.auth.module.Krb5LoginModule.login(Krb5LoginModule.java:542)
at Krb.loginImpl(Krb.java:65)
at Krb.main(Krb.java:77)
Caused by: KrbException: Checksum failed
at sun.security.krb5.internal.crypto.ArcFourHmacEType.decrypt(ArcFourHmacEType.java:85)
at sun.security.krb5.internal.crypto.ArcFourHmacEType.decrypt(ArcFourHmacEType.java:77)
at sun.security.krb5.EncryptedData.decrypt(EncryptedData.java:168)
at sun.security.krb5.KrbAsRep.<init>(KrbAsRep.java:87)
at sun.security.krb5.KrbAsReq.getReply(KrbAsReq.java:446)
at sun.security.krb5.Credentials.sendASRequest(Credentials.java:401)
at sun.security.krb5.Credentials.acquireTGT(Credentials.java:350)
at com.sun.security.auth.module.Krb5LoginModule.attemptAuthentication(Krb5LoginModule.java:672)
... 3 more
Caused by: java.security.GeneralSecurityException: Checksum failed
at sun.security.krb5.internal.crypto.dk.ArcFourCrypto.decrypt(ArcFourCrypto.java:388)
at sun.security.krb5.internal.crypto.ArcFourHmac.decrypt(ArcFourHmac.java:74)
at sun.security.krb5.internal.crypto.ArcFourHmacEType.decrypt(ArcFourHmacEType.java:83)
... 10 more
$

Mais le "k5start foo" est bien dans cet état, ainsi que "kinit foo".

Et l'action suivante de la séquence conduit à l'état (C):

$ echo -e "foo\nfoo" | kadmin.local -q "addprinc foo"
$ ktutil 
ktutil:  addent -password -p foo -k 1 -e rc4-hmac
Password for foo@EXAMPLE.COM: 
ktutil:  wkt /etc/krb5.keytab
ktutil:  q

après que les deux k5start/kinit et la java de vérification de donner de résultat positif.

Environnement:

yum list krb5-appl-servers krb5-libs krb5-server krb5-workstation kstart pam_krb5 
...
Installed Packages
krb5-libs.x86_64                                                                            1.9-33.el6_3.3                                                                      @updates
krb5-server.x86_64                                                                          1.9-33.el6_3.3                                                                      @updates
krb5-workstation.x86_64                                                                     1.9-33.el6_3.3                                                                      @updates
kstart.x86_64                                                                               4.1-2.el6                                                                           @epel   
...
$ cat /etc/redhat-release 
CentOS release 6.3 (Final)
$ java -version
java version "1.6.0_33"
Java(TM) SE Runtime Environment (build 1.6.0_33-b03)
Java HotSpot(TM) 64-Bit Server VM (build 20.8-b03, mixed mode)

Également le même comportement observé avec Java 7.
Également le même comportement a été observé sur Ubuntu precise (12.04.1 LTS) avec de MIT kerberos 5-1.10.3 compilé à partir des sources de la distribution.

Nice approfondie de la réponse!
Je suis en mesure de récupérer le billet de fichier keytab. Cependant, avec Java 7 du code, cette rupture brutale avec la somme de contrôle d'erreur échec. Est recréer le fichier keytab, la seule option?

OriginalL'auteur Ivan Veselovsky

0

Le problème vient de la manière dont jeton est généré vs comment il est validé sur le côté serveur. De l'exception de trace, il montre le problème est, côté client n'est pas le réglage de la somme de contrôle côté serveur et est à la recherche pour valider la somme de contrôle. La somme de contrôle est l'un des params valeur définie dans le jeton qui a sa signification évidente.

Il doit y avoir moyen en 2008 pour désactiver cette fonction pour ignorer vérifier la somme de contrôle. Mais ouvre une autre porte et vous pouvez avoir besoin pour évaluer le risque résiduel.

OriginalL'auteur tkar

Vous devez vous connecter pour publier un commentaire.