GSSException: [..] type de Cryptage AES256CTS mode avec HMAC SHA1-96 n'est pas pris en charge/activé

Après la définition de nos utilisateurs d'un domaine à l'appui de cryptage AES pour des jetons Kerberos (Windows Server 2008R2), sur une web-application côté serveur nous obtenons l'exception suivante:

GSSException: un Manquement quelconque à la GSS-API de niveau (Mécanisme de niveau:
Type de cryptage AES256CTS mode avec HMAC SHA1-96 n'est pas
prise en charge/activé)

Étrangement, nous avons la version 6 de Java (1.6.0_27) , ce qui signifie que l'AES doit être pris en charge, selon ce document: http://docs.oracle.com/javase/6/docs/technotes/guides/security/jgss/jgss-features.html

Aucune idées de ce qu'il manque à notre application web ou Java, ou à des tiers? Nous sommes à l'aide de Printemps de sécurité Kerberos extension (avec un minimum de modifications de code pour l'adapter à nos Printemps 2.x version et de supplémentaires exigences d'authentification).

Java Cryptography Extension (JCE) pour un nombre Illimité de Force est maintenant activé par défaut en Java 8u161. oracle.com/technetwork/java/javase/...

InformationsquelleAutor Arturs Licis | 2012-10-18

14

MODIFIER (2017-05-06): à venir JDK versions de cette inclus. Seulement une config paramètre doit être défini, voir JDK-8157561.

Suivre cette lien - Java SE Télécharge, faites défiler vers le bas et de télécharger le Java Cryptography Extension (JCE) Force Illimitée de la Compétence de la Politique de Fichiers spécifiques à votre version du JDK et de suivre le processus dans ce tutoriel intitulé: 5.4.2. Kerberos et Illimité de la Force Politique.

Les étapes de base sont les suivantes:
1. localiser votre JDK de sécurité de répertoire (montrant Unix ci-dessous):
```
$ locate 'jre/lib/security' | grep 'lib/security$'
/usr/java/jdk1.7.0_17/jre/lib/security
/usr/lib/jvm/java-1.5.0-gcj-1.5.0.0/jre/lib/security
/usr/lib/jvm/java-1.6.0-openjdk-1.6.0.0.x86_64/jre/lib/security
/usr/lib/jvm/java-1.7.0-openjdk-1.7.0.9.x86_64/jre/lib/security
```
2. Notant ci-dessus, nous devons ajouter le téléchargé la JCE .les fichiers jar à /usr/java/jdk1.7.0_17/jre/lib/security.
3. L'entreprise criminelle commune .fichier zip comprend les éléments suivants (en montrant JDK 1.7 de la JCE):
```
$ ls -l UnlimitedJCEPolicy
total 16
-rw-rw-r-- 1 root root 2500 May 31  2011 local_policy.jar
-rw-r--r-- 1 root root 7289 May 31  2011 README.txt
-rw-rw-r-- 1 root root 2487 May 31  2011 US_export_policy.jar
```
4. Ce sont les versions fournies avec le JDK (nouveau 1.7):
```
$ ls -l /usr/java/jdk1.7.0_17/jre/lib/security/*.jar
-rw-r--r--. 1 root root 2865 Mar  1  2013 /usr/java/jdk1.7.0_17/jre/lib/security/local_policy.jar
-rw-r--r--. 1 root root 2397 Mar  1  2013 /usr/java/jdk1.7.0_17/jre/lib/security/US_export_policy.jar
```
5. Nous avons besoin de les déplacer hors de la voie et de les remplacer par les versions incluses dans le JCE .fichier zip. En général, je ne les suivants:
```
$ pushd /usr/java/jdk1.7.0_17/jre/lib/security/
/usr/java/jdk1.7.0_17/jre/lib/security ~

$ mkdir limited
$ mv *.jar limited/

$ cp ~/UnlimitedJCEPolicy/*.jar .
$ ls -l *.jar
-rw-r--r-- 1 root root 2500 Jun 25 12:50 local_policy.jar
-rw-r--r-- 1 root root 2487 Jun 25 12:50 US_export_policy.jar
```
6. Redémarrer tout ce qui rend l'utilisation de JDK (Tomcat, etc.).
- Je vais essayer, mais pour être clair: j'ai pensé qu'il s'applique à JDK/JRE 5.0, pas 6. Je me trompe ici?
- Oui, vous vous trompez.
- J'ai commenté avant, j'ai téléchargé Illimité de la Force de la Compétence de la Politique de Fichiers et de lire les readme.txt fichier. Merci beaucoup!
- N'ai pas encore testé (pas d'accès à un réseau plus aujourd'hui), mais je vois déjà qu'il devrait fonctionner. À tout hasard vous savez peut-être de cryptage de Windows Server 2008 R2 utilise par défaut lors de l'AES chiffrement des cases à cocher (128 bits et 256 bits) sont désactivées dans les propriétés du Compte d'Utilisateur?
- Je suppose que lorsque le client publie RC4-HMAc, AES128 et AES256, le KDC va/doit choisir le meilleur. Vous pouvez le vérifier en reniflant le trafic avec Wireshark.
- Cela ne devrait pas être plus nécessaire que de Java 8u161. oracle.com/technetwork/java/javase/...
InformationsquelleAutor Michael-O

Vous devez vous connecter pour publier un commentaire.