那些遇到过的问题

"GSSException检测到缺陷令牌" - 尝试使用Kerberos对在Windows上运行的Tomcat进行身份验证时

Nic*_*zza 11 java windows kerberos active-directory gssapi

在Windows 2012上运行时,我正在努力验证Java Web容器(我已尝试过Tomcat和Jetty).

每次我尝试Negotiate auth方案时都会收到错误: org.ietf.jgss.GSSException: Defective token detected (Mechanism level: GSSHeader did not find the right tag)

重现步骤

首先设置Windows Server 2012或2016实例并安装Active Directory域服务.

在我的例子中,我创建了:

  • NETBIOS域名: NICKIS

  • Dns域名: nickis.life

在Active Directory上创建kerberos主题用户

重要提示:请确保第一个名称,最后名称和完整名称是相同的!

在我的情况下,新用户是:

DN =CN=kerberos500,CN=Users,DC=nickis,DC=life

登录+域名 =kerberos500@nickis.life

NETBIOS\samAccountName =NICKIS\kerberos500

从Windows Active Directory服务器运行setspn命令

setspn -A HTTP/nickis.life@NICKIS.LIFE kerberos500
Run Code Online (Sandbox Code Playgroud)

示例输出:

C:\Users\Administrator>setspn -A HTTP/nickis.life kerberos500
Checking domain DC=nickis,DC=life 
Registering ServicePrincipalNames for CN=kerberos500,CN=Users,DC=nickis,DC=life
        HTTP/kerberos500.nickis.life
Updated object
Run Code Online (Sandbox Code Playgroud)

从Windows Active Directory服务器运行ktpass命令

ktpass -out c:\Users\Administrator\kerberos500.keytab -princ HTTP/nickis.life@NICKIS.LIFE -mapUser kerberos500 -mapOp set -pass XXXXpasswordforkerberos500userXXXX -crypto DES-CBC-MD5 -pType KRB5_NT_PRINCIPAL +DesOnly
Run Code Online (Sandbox Code Playgroud)

示例输出:

C:\Users\Administrator>ktpass -out c:\Users\Administrator\kerberos500.keytab -princ HTTP/nickis.life@NICKIS.LIFE -mapUser kerberos500 -mapOp set -pass xxxxxxxx -crypto DES-CBC-MD5 -pType KRB5_NT_PRINCIPAL +DesOnly
Targeting domain controller: WIN-OVV6VHBGIB8.nickis.life
Using legacy password setting method
Successfully mapped HTTP/kerberos500.nickis.life to kerberos500.
Key created.
Output keytab to c:\Users\Administrator\kerberos500.keytab:
Keytab version: 0x502
keysize 71 HTTP/kerberos500.nickis.life@NICKIS.LIFE ptype 1 (KRB5_NT_PRINCIPAL) vno 3 etype 0x3 (DES-CBC-MD5) keylength 8 (0xcd07200bea625d20)
Account kerberos500 has been set for DES-only encryption.
Run Code Online (Sandbox Code Playgroud)

此时,您将拥有一个keytab文件:

c:\Users\Administrator\kerberos500.keytab
Run Code Online (Sandbox Code Playgroud)

一位用户负责人:

HTTP/kerberos500.nickis.life@NICKIS.LIFE
Run Code Online (Sandbox Code Playgroud)

这些是提供给GSSApi以使用Kerberos进行单点登录所需的2个输入.

因此,我将这些输入部署到Hadoop安全模块中的Web容器的kerberos安全域.

卷曲测试我尝试使用curl测试它失败了:

curl --negotiate -u : http://nickis.life:8080/my/webapp

Internet Explorer测试我也尝试过使用Internet Explorer.我将nickis.life域添加到Internet Explorer中的可信角色.然后我在Internet Explorer中启动该站点:http://nickis.life:8080

无论哪种方式,我得到以下错误:

org.apache.hadoop.security.authentication.client.AuthenticationException: GSSException: Defective token detected (Mechanism level: GSSHeader did not find the right tag)
    at org.apache.hadoop.security.authentication.server.KerberosAuthenticationHandler.authenticate(KerberosAuthenticationHandler.java:398) ~[hadoop-auth-2.7.1.jar:?]

...

Caused by: org.ietf.jgss.GSSException: Defective token detected (Mechanism level: GSSHeader did not find the right tag)
    at sun.security.jgss.GSSHeader.<init>(Unknown Source) ~[?:1.8.0_131]
    at sun.security.jgss.GSSContextImpl.acceptSecContext(Unknown Source) ~[?:1.8.0_131]
    at sun.security.jgss.GSSContextImpl.acceptSecContext(Unknown Source) ~[?:1.8.0_131]
    at org.apache.hadoop.security.authentication.server.KerberosAuthenticationHandler$2.run(KerberosAuthenticationHandler.java:365) ~[hadoop-auth-2.7.1.jar:?]
    at org.apache.hadoop.security.authentication.server.KerberosAuthenticationHandler$2.run(KerberosAuthenticationHandler.java:347) ~[hadoop-auth-2.7.1.jar:?]
    at java.security.AccessController.doPrivileged(Native Method) ~[?:1.8.0_131]
    at javax.security.auth.Subject.doAs(Unknown Source) ~[?:1.8.0_131]
    at org.apache.hadoop.security.authentication.server.KerberosAuthenticationHandler.authenticate(KerberosAuthenticationHandler.java:347) ~[hadoop-auth-2.7.1.jar:?]
Run Code Online (Sandbox Code Playgroud)

我很难过.注意:我在这里和那里找到了几个链接,但是没有一个链接在所遵循的步骤上,就像我在这里总结的那样,并且没有提供给我的解决方案.

任何人都可以追踪到我在这里搞砸了什么吗?

更新:

  • 我有AD服务器域设置为fusionis.life,AD服务器是WIN-OVV6VHBGIB8.fusionis.life
  • 我将tomcat服务器移动到域中的另一台Windows机器. DESKTOP-VTPBE99.fusionis.life
  • 我打开dnsmgmt.msc并添加了一个"正向查找区域",其中包含"kerberos500.nickis.life",其中A HOST设置为该DESKTOP-VTPBE99.fusionis.life框的IP .
  • 我删除了AD帐户,重新创建了它,然后按照故障单上的一个答案中的建议再次重新生成密钥表.

C:\Users\Administrator>ktpass -out c:\Users\Administrator\kerberos500.keytab -princ HTTP/kerberos500.nickis.life@NICKIS.LIFE -mapUser kerberos500 -mapOp set -pass xxxxxxxxx -crypto ALL -pType KRB5_NT_PRINCIPAL Targeting domain controller: WIN-OVV6VHBGIB8.fusionis.life Using legacy password setting method Successfully mapped HTTP/kerberos500.nickis.life to kerberos500. Key created. Key created. Key created. Key created. Key created. Output keytab to c:\Users\Administrator\kerberos500.keytab: Keytab version: 0x502 keysize 67 HTTP/kerberos500.nickis.life@NICKIS.LIFE ptype 1 (KRB5_NT_PRINCIPAL) vno 4 etype 0x1 (DES-CBC-CRC) keylength 8 (0x04e30b9183ba8389) keysize 67 HTTP/kerberos500.nickis.life@NICKIS.LIFE ptype 1 (KRB5_NT_PRINCIPAL) vno 4 etype 0x3 (DES-CBC-MD5) keylength 8 (0x04e30b9183ba8389) keysize 75 HTTP/kerberos500.nickis.life@NICKIS.LIFE ptype 1 (KRB5_NT_PRINCIPAL) vno 4 etype 0x17 (RC4-HMAC) keylength 16 (0xe39a141de38abd8750bf9c0bf49fd1c5) keysize 91 HTTP/kerberos500.nickis.life@NICKIS.LIFE ptype 1 (KRB5_NT_PRINCIPAL) vno 4 etype 0x12 (AES256-SHA1) keylength 32 (0xe368a1b060cfe4816f522c1c5f62ca07fe201ed96c6d018054dfbd5b86251892) keysize 75 HTTP/kerberos500.nickis.life@NICKIS.LIFE ptype 1 (KRB5_NT_PRINCIPAL) vno 4 etype 0x11 (AES128-SHA1) keylength 16 (0x1b1a548fa2893a78c6f4c7f9c482b614)

  • 我在服务器上保存了keytab更新文件,然后将服务主体更新为 HTTP/kerberos500.nickis.life@NICKIS.LIFE

  • 我以域用户身份登录tomcat机器,将http://kerberos500.nickis.life添加到可信站点,然后导航到http://kerberos500.nickis.life:8764

  • 我检查了kerberos500 AD"帐户"标签中所有加密复选框的组合.

现在我收到一个新错误......

GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos credentails)

更新:

最终解决了.我得到了这个最后的错误,因为我需要fusionis.life在同一个主机上nickis.life

T-H*_*ron 14

错误" 检测到有缺陷的令牌 "可能意味着检测到令牌.如果失败,这就是Negotiate机制在流行的Web浏览器中使用的内容- 否则Web服务器没有指示.在操作系统上,IE上的IE浏览器(以及Firefox,如果配置正确)基本上说,如果你不做Kerberos,我会发给你一个NTLM令牌.服务器回复"没办法"我甚至不知道NTLM所以我打电话给你发送给我的有缺陷.由于您似乎是第一次进行此设置,因此您可能没有为Kerberos失败时配置任何回退机制(例如NTLM),因此,该错误消息.我们通过理解Kerberos失败的原因来解决这个问题.我想我在两个地方看到了与SPN和可信站点相关的问题失败的原因.即使你解决了这两个问题,还有第三个原因和第四个原因,它可能会继续失败,与加密有关.

  1. HTTP服务的与浏览器输入的URL不匹配.这些需要匹配,否则Kerberos将失败.要工作,浏览器应该使用:http://kerberos500.nickis.life:8080,而不是http://nickis.life:8080.我根据你在创建语法中看到的内容说出来.因为你已经对SPN进行了编码:HTTP /kerberos500.nickis.life@NICKIS.LIFE.这就是你需要使用http://kerberos500.nickis.life:8080的原因.当您告诉它去http://nickis.life:8080时,浏览器将不知道如何访问您的Web服务.与上面的网址,浏览器假定它需要找到您的Active Directory运行Web服务(任何与刚刚就任nickis.life就是在域控制器上运行).出于安全原因,DC不应运行Web服务器.
  2. 您需要在IE设置下将http://kerberos500.nickis.life添加为可信站点.或者,*.nickis.life也可以.(当它实际上称为可信站点时,您将其称为可信角色).
  3. 您将Kerberos加密类型限制为DES-CBC-MD5.从Windows Server 2008 Active Directory R2开始,默认情况下禁用DES.如今,DES是一种过时且通常不安全的加密类型.使用AES128甚至更好的AES256要好得多.您可以通过下面的示例重新生成密钥表来解决这个问题.
  4. 在AD用户帐户kerberos500中,转到"帐户"选项卡,滚动到底部,然后选中DES,AES 128和AES 256的所有框,然后确定您已离开对话框.即使您在上面执行了所有操作,也必须选中这些框,否则Kerberos身份验证仍会失败.

如何正确地重新生成密钥表:只要计划创建与该用户帐户关联的密钥表,就不应运行setspn -a命令将ADN添加到AD用户.原因是因为keytab creation命令将SPN作为命令的一部分添加到用户帐户.如果按照上面的建议后你的方案不起作用,那么你需要通过setspn -D删除SPN,如下所示:

setspn -D HTTP/nickis.life@NICKIS.LIFE kerberos500
Run Code Online (Sandbox Code Playgroud)

然后重新生成密钥表,我唯一的变化是我告诉它使用所有加密类型.客户端和服务器将在身份验证过程中就最强大的常见协议达成一致.  

ktpass -out c:\Users\Administrator\kerberos500.keytab -princ HTTP/nickis.life@NICKIS.LIFE -mapUser kerberos500 -mapOp set -pass XXXXpasswordforkerberos500userXXXX -crypto ALL -pType KRB5_NT_PRINCIPAL
Run Code Online (Sandbox Code Playgroud)


然后用新的keytab替换旧的keytab.有关keytabs的更多深入信息,您可以在我的技术文章中阅读更多有关如何在此处创建Kerberos keytabs的信息: Kerberos Keytabs - 解释.我经常回过头来根据我在这个论坛中看到的问题进行编辑.

顺便说一句,HTTP/kerberos500.nickis.life是一个服务主体,而不是你在问题中写的用户主体.我只使用Web浏览器在像这样的HTTP场景中测试Kerberos,我不使用cURL.

如果你努力地完成我上面提到的所有四点,我会很肯定你会解决这个问题.

EDIT1:此答案假设您在具有完全限定域名kerberos500.nickis.life的主机上运行HTTP服务.如果你没有这样名字的主机,我的答案会略有变化.如果有的话请告诉我.

编辑2:要使用http://nickis.life:8080的URL实现身份验证的目标,您可以继续使用您已创建的相同密钥表.

在AD帐户NICKIS\kerberos500上,转到"帐户"选项卡,滚动到底部,然后选中"为此帐户使用Kerberos DES加密类型"复选框.

然后通过组策略在AD域级别启用DES加密.为此,请执行以下操作:

  1. 打开组策略管理控制台(GPMC).
  2. 编辑默认域策略GPO.(更安全地创建一个新的域级GPO并编辑它,但这取决于你).
  3. 导航到计算机配置>策略> Windows设置>安全设置>本地策略>安全选项>"网络安全:配置Kerberos允许的加密类型",然后选中DES_CBC_MD5和DES_CBC_MD5的两个复选框.重要信息:在同一组策略中,还要确保还检查RC4,AES128和AES256的复选框.这些加密类型不会用于您网站的门票,但它们将用于域中的其他所有内容.好了,你离开了对话框并关闭了GPMC.
  4. 在DC服务器和客户端上运行'gpupdate/force'命令.
  5. 在客户端上运行"klist purge"以清除所有Kerberos票证.
  6. 在Web浏览器中,清除缓存并删除所有cookie.
  7. 确保DC服务器允许端口8080 TCP入站.
  8. 再试一遍.

参考:Kerberos支持的加密类型的Windows配置

编辑3:避免在同一台机器上运行Kerberos KDC(DC),客户端和服务器.这是获得"瑕疵令牌错误"的经典方法,即使你已经做了其他正确的事情.

编辑4 :(最终更新由OP验证):查看新的ktpass keytab创建输出,我看到了这一点:目标域控制器:WIN-OVV6VHBGIB8.fusionis.life.现在,keytab中定义的SPN是HTTP/kerberos500.nickis.life.AD域名与您定义的SPN不同,因此除非您在这些域之间建立某种信任设置,否则这不会起作用.如果您没有信任,则需要使用HTTP/kerberos500.fusionis.life的SPN.

  • 重要提示:在同一组策略中,请确保还检查RC4,AES128和AES256的复选框!这些加密类型不会用于您网站的门票,但它们将用于域中的其他所有内容. (2认同)

归档时间:

查看次数:

8538 次

最近记录:

7 年,11 月 前
使用Kerberos/Spring Security/IE/Active Directory检测到"检测到令牌"错误(NTLM不是Kerberos) 30
更多相关链接
相关归档
为什么只有这个Windows批处理文件的第一行执行但所有三行都在命令shell中执行? 163
如何在Java中创建唯一ID? 162
如何在JPA中持久化List <String>类型的属性? 147
杰克逊 - 使用泛型类反序列化 120
从技术上讲,Oracle JDK和OpenJDK之间的主要区别是什么? 115
如果公司使用C++,C#或Java作为应用程序语言,为什么要学习Perl,Python,Ruby? 66
java类和jar之间的区别 45
Windows上的乘客 14
查询Active Directory中OU中的所有用户,并将用户名输出到列表框 8
C#使用不同的用户凭据访问活动目录 6
难疑归档
为什么减去这两次(在1927年)给出一个奇怪的结果? 6628
在JavaScript中循环遍历数组 2940
如何在Python中延迟时间? 2638
如何修复android.os.NetworkOnMainThreadException? 2308
如何获得$(this)选择器的子节点? 2182
.NET中的decimal,float和double之间的区别? 2015
当用户将鼠标悬停在列表项上时,将光标置为手 1871
Git diff对付藏匿处 1265
const int*,const int*const和int const*之间有什么区别? 1262
如何测量函数执行所花费的时间 1057