那些遇到过的问题

使用Java 8 S4U2Proxy - 需要一个很好的例子

Nis*_*hit 10 kerberos java-8

我正在尝试使用Java 8中引入的S4U2Proxy.不幸的是,我没有成功找到那些例子.我的要求是客户会发送证书.然后,我应该委托(使用kerberos)他的请求,连接到KDC,获取TGT,获取服务票证代表用户联系另一台服务器,然后通过提供服务票证最终联系实际服务.如果java 8没有提供干净的方法,你能不能指向我可能解决我的需求的其他实用程序.

Subject.doAs(subject, new PrivilegedAction<Object>() {
        @Override
        public Object run() {
            GSSManager manager = GSSManager.getInstance();
            GSSCredential self  = null;
            try {
                GSSName selfUser = manager.createName("serviceWhoWantstoImpersonate", GSSName.NT_USER_NAME);
                Oid krb5Oid = new Oid( "1.2.840.113554.1.2.2");
                self = manager.createCredential(selfUser.canonicalize(krb5Oid), GSSCredential.DEFAULT_LIFETIME, krb5Oid, GSSCredential.INITIATE_ONLY);
                GSSName user = manager.createName(clientName, GSSName.NT_USER_NAME);
                GSSCredential impCred = ((ExtendedGSSCredential) self).impersonate(user);
            } catch (GSSException e) {
                e.printStackTrace();
            }

            return null;
        }
    });
Run Code Online (Sandbox Code Playgroud)

显然会有关于如何在KDC中设置SPN的问题?该服务帐户是否获得授权?是否已将正确的SPN分配给该服务帐户?当用户"猴子"否认所有类型的授权?等等.现在我觉得我在KDC中做了正确的设置.我的问题是上面甚至在它击中KDC之前就已经发生了.任何有效的输入都会有所帮

编辑:经过一些研究后,我能够使用java 8执行S4u2self和s4u2proxy.感到至少有一个例子应该由Oracle文档提供.无论如何,我现在正在进入下一阶段.现在我需要处理的另一个场景是跨域kerberos证书委派.从我到目前为止看到的java 8文档,它推断出目前不支持跨领域.它仍然是真的吗?

Yve*_*tin 2

我已经为 Java 8 中的 Kerberos SFU 扩展功能构建了一个完整的独立演示应用程序:https://github.com/ymartin59/java-kerberos-sfudemo

以下是简短的代码片段,允许为模拟用户生成带有 TGS 票证的 SPNEGO 令牌:

GSSManager manager = GSSManager.getInstance();
GSSName userName = manager.createName("targetUser", GSSName.NT_USER_NAME);
GSSCredential impersonatedUserCreds =
  ((ExtendedGSSCredential)serviceCredentials).impersonate(userName);

final Oid KRB5_PRINCIPAL_OID = new Oid("1.2.840.113554.1.2.2.1");
GSSName servicePrincipal =
  manager.createName("HTTP/webservice-host.domain.ltd", KRB5_PRINCIPAL_OID);
ExtendedGSSContext extendedContext =
  (ExtendedGSSContext) manager.createContext(servicePrincipal,
                                             new Oid("1.3.6.1.5.5.2"),
                                             impersonatedUserCreds,
                                             GSSContext.DEFAULT_LIFETIME);
final byte[] token = extendedContext.initSecContext(new byte[0], 0, 0);
Run Code Online (Sandbox Code Playgroud)

当心extendedContext尚未建立。可能需要与服务器进行多轮。

Java 8 Kerberos 代码尚不支持跨领域模拟:请参阅JDK-8005819

Java 服务帐户可能托管在一个领域中,并且此代码可以针对另一个领域中的服务,只要该领域明确附加到 SPN,例如HTTP/webservice-host.otherdomain.ltd@OTHERDOMAIN.LTD

对于其他领域已知的用户同样的方式,您应该将其附加到方法中的登录名中createName("targetUser@OTHERDOMAIN.LTD", GSSName.NT_USER_NAME)

归档时间:

查看次数:

1328 次

最近记录:

6 年,5 月 前
Java SPNEGO身份验证和Kerberos约束委派(KCD)到后端服务 4
更多相关链接
相关归档
如何从List <Integer>获取IntStream? 40
Java 8收集器,如果只有一个值,则返回一个值 32
Java 8错误:接口继承抽象和默认 12
Lambda表达式和高阶函数 7
NashornScriptEngine线程安全吗? 5
在macOS上打开终端时,无法找到与版本"1.8.0_40"匹配的任何JVM 5
如何避免使用Optional.get和Optional.isPresent 5
使用索引迭代IntStream 2
如何使用流来展平和分组此HashMap? 1
java - 如何在java,springboot中避免多个or(||)进行空验证 0
难疑归档
JavaScript闭包如何工作? 7644
舍入到最多2位小数(仅在必要时) 2492
为什么这段代码使用随机字符串打印"hello world"? 1733
int32的最大值是多少? 1383
我在哪里可以找到有关在JavaScript中格式化日期的文档? 1381
如何获取MySQL用户帐户列表 1320
如何让ASP.NET Web API使用Chrome返回JSON而不是XML? 1220
如何在滚动后检查元素是否可见? 1115
如何在Java中创建通用数组? 1045
在jQuery中删除事件处理程序的最佳方法? 1038