那些遇到过的问题

无法找到适当类型的密钥来解密 AP REP - 使用 HMAC SHA1-96 的 AES256 CTS 模式

Jus*_*tin 5 apache kerberos aes spnego

我有一个带有 Spnego SSO 设置的 tomcat 服务器,它运行良好,没有任何问题。现在我想在它前面添加一个 Apache 服务器以启用 SSL。Apache服务器使用AJP与其通信:

<VirtualHost *:58443>
  SSLEngine on
  ServerName ca09417d.global.local:58443
  SSLCertificateFile "${SRVROOT}/conf/ssl/ca09417d.server.cer"
  SSLCertificateKeyFile "${SRVROOT}/conf/ssl/ca09417d.server.key"
 ...
  ProxyRequests off
  ProxyPreserveHost On
  ProxyPass /vcaps3 ajp://cavcdbdev02:58009/vcaps3
  ProxyPassReverse /vcaps3 ajp://cavcdbdev02:58009/vcaps3   
</virtualhost>
Run Code Online (Sandbox Code Playgroud)

之后,服务器抱怨这个错误:

KrbException: Invalid argument (400) - Cannot find key of appropriate type to decrypt AP REP - AES256 CTS mode with HMAC SHA1-96
sun.security.krb5.KrbApReq.authenticate(KrbApReq.java:278)
sun.security.krb5.KrbApReq.<init>(KrbApReq.java:149)
sun.security.jgss.krb5.InitSecContextToken.<init>(InitSecContextToken.java:108)
sun.security.jgss.krb5.Krb5Context.acceptSecContext(Krb5Context.java:829)
sun.security.jgss.GSSContextImpl.acceptSecContext(GSSContextImpl.java:342)
sun.security.jgss.GSSContextImpl.acceptSecContext(GSSContextImpl.java:285)
sun.security.jgss.spnego.SpNegoContext.GSS_acceptSecContext(SpNegoContext.java:906)
sun.security.jgss.spnego.SpNegoContext.acceptSecContext(SpNegoContext.java:556)
sun.security.jgss.GSSContextImpl.acceptSecContext(GSSContextImpl.java:342)
sun.security.jgss.GSSContextImpl.acceptSecContext(GSSContextImpl.java:285)
net.sourceforge.spnego.SpnegoAuthenticator.doSpnegoAuth(SpnegoAuthenticator.java:444)
net.sourceforge.spnego.SpnegoAuthenticator.authenticate(SpnegoAuthenticator.java:283)
net.sourceforge.spnego.SpnegoHttpFilter.doFilter(SpnegoHttpFilter.java:229)
Run Code Online (Sandbox Code Playgroud)

所以我尝试了这些事情:

  • 确保我的 JDK 可以执行 AES 256
  • 登录Apache本地,它成功了,因为我有这样的设置:
    spnego.allow.localhost =true
  • 检查双方服务器日志,没有发现任何内容
  • Apache失败后我仍然可以直接在tomcat服务器上使用SSO

现在我不知道应该做什么来解决它。

  • 我的tomcat版本是8.5.32
  • 我的JDK版本是1.8.0_151
  • 我的Apache版本是httpd-2.4.33-o110h-x86-vc14-r2
  • 我的 Spnego 版本是 7

这是我的 krb5.conf 的主要部分:

[libdefaults]
default_tkt_enctypes = rc4-hmac aes256-cts aes128-cts
default_tgs_enctypes = rc4-hmac aes256-cts aes128-cts
permitted_enctypes   = rc4-hmac aes256-cts aes128-cts
Run Code Online (Sandbox Code Playgroud)

你可以帮帮我吗?

非常感谢!

贾斯汀

fla*_*nze 0

解决方案一:

我遇到了类似的错误,因为密钥表文件是使用错误的/crypto配置生成的。

无法找到适当类型的密钥来使用 HMAC 解密 AP-REQ - RC4)

/crypto ALL使用以下命令生成新的密钥表文件ktpass

ktpass /out "server.keytab" /crypto ALL /princ HTTP/server@REALM /mapuser KERBEROS_SERVICEUSER /pass PASSWORD /ptype KRB5_NT_PRINCIPAL
Run Code Online (Sandbox Code Playgroud)

HTTP/server@REALM,KERBEROS_SERVICEUSER和替换PASSWORD为相应的值。

解决方案2:

确保 Kerberos 服务用户选中了以下选项:

  • 该帐户支持 kerberos AES 128 位加密
  • 该帐户支持 kerberos AES 256 位加密

在此输入图像描述

归档时间:

查看次数:

3697 次

最近记录:

3 年,4 月 前
相关归档
如何在没有Tomcat的情况下在Apache 2.2上运行Java应用程序? 16
减慢浏览器的连接以进行测试 16
.htaccess虚拟主机的基本身份验证? 11
htaccess:将旧域和所有页面重定向到新域 8
keytab有一辈子吗? 6
Android:使用带端口号的Uri.Builder().build()创建一个URL 6
使用已编译的PHP代码提供站点 5
我可以在ruby中复制PHP的AES加密的确切行为吗? 4
如何删除mod_python? 4
对于apxs2安装,由于Depends而无法安装apache2-dev 2
难疑归档
避免!= null语句 3904
什么是依赖注入? 2984
#include <filename>和#include"filename"有什么区别? 2204
在vi中快速缩进多行 2111
如何确定变量是"未定义"还是"空"? 2000
如何用Vim中的换行符替换字符? 1870
如何在Java中连接两个数组? 1299
检查jQuery中是否存在元素 1209
创建一个带参数的Bash别名? 1164
如何将本地jar文件添加到Maven项目? 1053