如何解决Kerberos - 密钥表文件仅适用于特定密码
我正在尝试在 Windows 域上为 Keycloak 实施 Kerberos 集成。 我在 Keycloak 中添加了一个 ldap 提供程序,并设置了与 AD 的连接,一切正常。
我正在沙盒环境中进行测试 域:SANDBOX.NET DC:KEYTEST-DC 运行keycloak的应用服务器:KEYTEST-APP 使用 kerberos 测试自动登录的客户端机器:KEYTEST-CLIENT
我从以下操作开始(使用 DC 管理员帐户在 DC 上完成)
-
创建一个与运行keycloak的机器名同名的新AD服务用户 名字:KEYTEST-APP 用户登录名:HTTP/keytest-app.sandbox.net 密码:S@ndM@n
-
为这个用户设置spn setspn -A HTTP/keytest-app.sandbox.net@SANDBOX.NET KEYTEST-APP
-
创建 KeyTab 文件
ktpass /out keycloak.keytab /princ HTTP/keytest-app.sandbox.net@SANDBOX.NET /mapuser KEYTEST-APP@SANDBOX.NET /pass S@ndM@n
-
将keytab文件复制到app server并使用它在keycloak中配置kerberos Kerberos 领域:SANDBOX.NET 服务器主体:HTTP/keytest-app.sandbox.net@SANDBOX.NET 密钥表:密钥表文件的位置
我进行了初步测试,一切正常。
然后我想记录整个过程,所以我重新开始,但选择 svc_keycloak 作为我的 AD 服务用户的名称,因为我发现其他文档没有指定名称必须与应用服务器的名称相匹配。
我也选择了不同的密码,但是当我测试它时它不起作用。
keycloak 错误:SPNEGO login failed: java.security.PrivilegedActionException: GSSException: Failure unspecified at GSS-API level (Mechanism level: Checksum failed)
最终我发现,当我在 ktpass 命令中使用 S@ndM@n 密码时,它只适用于 svc_keycloak 用户,即使这是来自 KEYTEST-APP 用户的密码。
然后我做了很多测试,删除了 KEYTEST-APP 用户,创建了新的 DC 管理员帐户,更改了密码。然而,kerberos 仅在我在 ktpass 命令中使用 S@ndM@n 作为密码时才起作用(无论我尝试过什么用户)。
最后我从零开始,新 DC,新应用服务器,从头开始配置一切。 这次我从新的服务用户开始:svc_keycloak 和一个全新的密码,但在 keycloak 中再次出现同样的错误。 然后我再次创建用户 KEYTEST-APP 并给它密码 S@ndM@n(也许我应该在这里选择一个不同的密码,我应该从头开始),现在一切又恢复了。 使用 svc_keycloak 进行测试,如果我在 ktpass 命令中将 S@ndM@n 作为密码,它也可以再次使用。
在删除KEYTEST-APP用户后它甚至继续工作,所以密码必须仍然存储在某个地方?? 我注意到当我删除 KEYTEST-APP 用户时,我在执行时仍然得到服务主体名称: setspn -l KEYTEST-APP
经过一番研究(因为我对kerberos的了解非常有限)我发现这是因为KEYTEST-APP也是一个计算机帐户。 据我所知,每个计算机帐户都有自己的密码,但这些都是完全随机的。
我只想找出为什么它只适用于 S@ndM@n 密码。这是因为这是我为与应用服务器同名的用户使用的第一个密码吗?那么一定有什么方法可以更新这个吗? 或者也许我忽略了一些东西,有人在我的配置中看到了问题。
谢谢, 雷米
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。