KDC n'a pas de support pour le chiffrement de type (14)
Je suis en train de mettre en œuvre l'authentification unique avec kerberos à l'aide de printemps à la sécurité kerberos extension.
J'ai créé un fichier keytab et j'obtiens l'erreur suivante lorsque vous essayez d'accéder à ma webapp:
GSSException: Failure unspecified at GSS-API level (Mechanism level: Checksum failed)
J'ai essayé de tester mon fichier keytab selon ce post.
Le fichier keytab a été créé avec la commande suivante:
ktpass /out http-web.keytab /mapuser [email protected] /princ HTTP/[email protected] /pass myPass /ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT /kvno 0
Mon krb5.conf est comme suit
[libdefaults]
default_realm = MYDOMAIN.COM
permitted_enctypes = aes256-cts arcfour-hmac-md5 aes128-cts rc4-hmac des3-cbc-sha1 des-cbc-md5 des-cbc-crc
default_tgs_enctypes = aes256-cts arcfour-hmac-md5 aes128-cts rc4-hmac des3-cbc-sha1 des-cbc-md5 des-cbc-crc
default_tkt_enctypes = aes256-cts arcfour-hmac-md5 aes128-cts rc4-hmac des3-cbc-sha1 des-cbc-md5 des-cbc-crc
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
[realms]
MYDOMAIN.COM = {
kdc = controller1.mydomain.com:88
kdc = controler2.mydomain.com:88
kdc = controller3.mydomain.com:88
admin_server = controller3.mydomain.com
default_domain = MYDOMAIN.COM
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
[login]
krb4_convert = true
krb4_get_tickets = false
J'obtiens l'erreur suivante:
KDC has no support for encryption type (14)
J'ai essayé activation DES, AES-128 et AES-256 pour le compte de la SPN, mais elle ne résout pas le problème.
Ce qui me manque ici?
Grâce,
Lior
Dans ktpass vous êtes forçant un étrange valeur de kvno: 0. En général c'est 1 ou plus. À partir de Windows 2008, on peut définir l'crypto à Tous.
blogs.msdn.com/b/openspecification/archive/2011/05/31/...
Comme AD augmente toujours "la clé de la version' dans l'entrée correspondant à SPN lorsque vous utilisez ktpass vous devez cocher la case " version clé abord au service de l'ANNONCE, puis l'utiliser +1 pour '/kvno " pour ktpass. Cependant ce n'est pas lié à ce problème
Hé les gars, Merci pour votre aide. J'ai lu que java peut avoir des problèmes avec la lecture d'un fichier keytab avec kvno autre que 0, c'est pourquoi j'ai particulièrement mis à 0. Malheureusement, je ne pouvais pas trouver ce post encore une fois... de toute façon, je l'ai essayé aujourd'hui sans la spécification kvno, et j'obtiens la même erreur.
J'ai dû cocher les cases pour chacun de mes spn comptes pour "Ce compte prend en charge Kerberos AES 128 bits de cryptage" et "Ce compte prend en charge Kerberos AES 256 bits de cryptage".
blogs.msdn.com/b/openspecification/archive/2011/05/31/...
Comme AD augmente toujours "la clé de la version' dans l'entrée correspondant à SPN lorsque vous utilisez ktpass vous devez cocher la case " version clé abord au service de l'ANNONCE, puis l'utiliser +1 pour '/kvno " pour ktpass. Cependant ce n'est pas lié à ce problème
Hé les gars, Merci pour votre aide. J'ai lu que java peut avoir des problèmes avec la lecture d'un fichier keytab avec kvno autre que 0, c'est pourquoi j'ai particulièrement mis à 0. Malheureusement, je ne pouvais pas trouver ce post encore une fois... de toute façon, je l'ai essayé aujourd'hui sans la spécification kvno, et j'obtiens la même erreur.
J'ai dû cocher les cases pour chacun de mes spn comptes pour "Ce compte prend en charge Kerberos AES 128 bits de cryptage" et "Ce compte prend en charge Kerberos AES 256 bits de cryptage".
OriginalL'auteur Lior Chaga | 2014-05-22
Vous devez vous connecter pour publier un commentaire.
juste défoncé ma tête contre le KrbException "KDC n'a pas de support pour enryption type (14)" pour plusieurs jours dans la séquence. J'ai visité de nombreux endroits, y compris certains approfondie MSDN billets de blog (de Sun Hongwei, Sebastian Canevari) je ne peut pas faire référence pour manque de notoriété.
Merci, pour votre mention de kvno 0 et dsiabling de DES il fonctionne maintenant aussi sur mon côté.
En fin de compte, il est apparu que j'ai mon Compte d'Utilisateur de l'installation avec
userAccountControl: 0d66048 ou 0x10200 qui correspond à 0b10000001000000000
ou ADS_UF_DONT_EXPIRE_PASSWD (0x00010000) et ADS_UF_NORMAL_ACCOUNT (0x00000200), mais pas de UF_USE_DES_KEY_ONLY (0x200000), établis
et
fs-SupportedEncryptionTypes: 0d16 ou 0x10 qui correspond à 0b10000 ou AES256-CTS-HMAC-SHA1-96 (0x10), mais pas de RC4-HMAC (0x04).
Avec ce et le suivant dans mon /etc/krb5.conf je peux reproducably provoquer "KrbException KDC n'a pas de support pour enryption type (14)" lors de la suppression de la rc4-hmac de la default_tkt_enctypes.
/etc/krb5.conf:
Toutefois, si vous la changez pour default_tkt_enctypes = aes256-cts rc4-hmac il va réussir.
Notez que vous pouvez également laisser la spécification de la default_tkt_enctypes directive dans /etc/krb5.conf, afin de le faire fonctionner.
À cet effet, il ressemble à Windows Server 2008 SP2 Active Directory ne demandent explicitement RC4-HMAC dans la Pré-phase d'Authentification:
J'ai mis à jour la JCE 1.8.0 politique de fichiers au sein de mon du JDK jre/lib/security dossier pour AES256 à être pris en charge.
Salutations,
Stefan
La enctypes sont précisées dans les
Kerberos Paramètres
http://www.iana.org/assignments/kerberos-parameters/kerberos-parameters.xhtml
Échec:
Succès:
PS: Vous pouvez extraire le Kerberos 5 Outils à partir d'un Windows JDK Oracle avez supprimé de la version de JDK 1.6-delà. Cela vous donne plus de sortie de débogage sur une plateforme Linux avec le Paramètre (-Dsun.de sécurité.krb5.debug=true).
Cela fonctionne autour de JDK-6910497 : Kinit classe manquante
http://bugs.java.com/bugdatabase/view_bug.do?bug_id=6910497
OriginalL'auteur stefan123t
A finalement obtenu ce travail:
Lors de la mise en œuvre de l'authentification kerberos pour Oracle JDK 6, on devrait utiliser RC4-HMAC chiffrement, et ainsi de le DES et l'AES de soutien doit être désactivé pour le compte de l'utilisateur.
Pourquoi n'ai-je vérifier en premier lieu est une autre histoire....
OriginalL'auteur Lior Chaga
Ce qui les a aidé dans mon cas, c'était le commutateur
et j'ai commenté l'ensemble de ces krb5.conf:
Je suppose que c'est la configuration par défaut avec rc4-hmac codage qui est la plus compatible.
Pas les réglages ont été nécessaires dans Active Directory sur mon compte SPN.
Windows Server 2008, Weblogic 10.3.6, Oracle JDK 1.7
OriginalL'auteur E.Egiazarov