我们正在使用 Apache HttpClient 库来连接到 Kerberos 安全的 REST 端点,该端点位于为多个应用程序提供服务的负载均衡器后面,因此正向和反向 DNS 查找结果之间存在不匹配。
虽然我们可以通过在 krb5.conf 文件中设置 rdns=false 使用 cURL 成功建立经过身份验证的会话,但在 Java 中似乎不可能这样做 - 它只是忽略此设置并始终执行反向 DNS 查找,这当然会失败由于不匹配而握手。
我没有找到关于这个问题的太多信息,但我确实找到了这个开放的 Jira 项目,它解释了我们看到的行为......但没有提供任何解决方法:https : //bugs.openjdk.java.net/浏览/JDK-8189361
到目前为止,我发现的唯一可行的解决方法是使用自定义名称服务提供商来“劫持”反向 DNS 查找并返回所需的主机名。
关于这方面的信息也非常稀少,但我发现大约 12 年前的这篇博文似乎仍然有效(虽然感觉像是一个非常肮脏的黑客):http :
//rkuzmik.blogspot.co.il/2006/08 /local-managed-dns-java_11.html
然而,我感觉我可能在这里遗漏了一些东西,因为关于这个问题的信息似乎很少。
在 Java 中执行 Kerberos 时,是否有其他人遇到禁用反向 DNS 查找的问题?如果是这样,你是如何解决这个问题的。
小智 3
上周我在使用 VIP 时遇到了同样的错误,但反向 dns 给了我物理服务器的 FQDN。不幸的是,我没有直接使用 HttpClient-4.5.1 库,而是在幕后使用它的软件;因此,我正在寻找一种不触及该软件源代码的解决方案。不幸的是,我确实做了很多尝试(jvm spi.dns、jvm gss native、dnsjava.jar,...),但没有成功。最后,“肮脏的解决方案”是我重建 HttpClient jar,更改其方法“String resolveCanonicalHostname(final String host)”上的类“org.apache.http.impl.auth.GGSSchemeBase”。
对于可能的“好的解决方案”,我看到此类直接在其构造函数中接收参数“boolean useCanonicalHostname”,因此,如果您可以直接使用 HttpClient 库,则可能有一种方法可以将此参数设置为 false 并传播一直到生成 kerberos 服务票证的类(如果参数为 false,则不进行 rdns 检查,而是使用 Host 字符串)。
我希望这个提示可以帮助你。
BR
萨穆埃莱
| 归档时间: |
|
| 查看次数: |
2659 次 |
| 最近记录: |