Spring Security Kerberos, Kerberos + AD - Error: Access Denied, No key to store
Spring Security Kerberos, Kerberos + AD - Error: Access Denied, No key to store
这是来自 https://github.com/spring-projects/spring-security-kerberos/tree/master/spring-security-kerberos-samples/sec-server-win-auth corresponding to http://docs.spring.io/spring-security-kerberos/docs/1.0.1.RELEASE/reference/htmlsingle/#samples-sec-server-win-auth 的 Kerberos 示例应用程序。
我所做的只是修改 src/main/resources/application.yml 以适应我的系统,并在创建 SPN 和 Keytab 文件之间来回切换。
我的 spring 应用程序似乎开始正常。下面是通过控制台输出的 Kerberos 配置。
Debug is true storeKey true useTicketCache false useKeyTab true doNotPrompt true ticketCache is null isInitiator false KeyTab is /etc/client-server.keytab refreshKrb5Config is false principal is HTTP/client-server.example.org@REALM tryFirstPass is false useFirstPass is false storePass is false clearPass is false
principal is HTTP/client-server.example.org@REALM
Will use keytab
Commit Succeeded
所以我可以看到客户端应用程序到目前为止已经接受了我的设置。然后我尝试在另一台机器上通过 chrome 访问 client-server:8080/hello 。我得到的第一个错误是 Acces 被拒绝(用户是匿名的)。应该重定向到身份验证入口点。然后我得到以下内容,以“No key to store”结尾
[nio-8080-exec-4] w.a.SpnegoAuthenticationProcessingFilter : Received Negotiate Header for request client-server:8080/favicon.ico: Negotiate YIIHZAYGKwYBBQUCoIIHWDCCB1SgMDAuBgk……./9AdsoFH2ya7C
[nio-8080-exec-4] o.s.s.authentication.ProviderManager : Authentication attempt using org.springframework.security.kerberos.authentication.KerberosServiceAuthenticationProvider
[nio-8080-exec-4] .a.KerberosServiceAuthenticationProvider : Try to validate Kerberos Token
[nio-8080-exec-4] .a.KerberosServiceAuthenticationProvider : Succesfully validated myUsername@REALM
[nio-8080-exec-4] o.s.s.l.s.FilterBasedLdapUserSearch : Searching for user 'myUsername@REALM', with user search [ searchFilter: '', searchBase: 'DC=xxxxx', scope: subtree, searchTimeLimit: 0, derefLinkFlag: false ]
Debug is true storeKey true useTicketCache true useKeyTab true doNotPrompt true ticketCache is null isInitiator true KeyTab is null refreshKrb5Config is false principal is HTTP/client-server.example.org@REALM tryFirstPass is false useFirstPass is false storePass is false clearPass is false
Acquire TGT from Cache
Principal is HTTP/client-server.example.org@REALM
2015-11-27 11:38:47.906 DEBUG 3183 --- [nio-8080-exec-4] w.c.HttpSessionSecurityContextRepository : SecurityContext is empty or contents are anonymous - context will not be stored in HttpSession.
2015-11-27 11:38:47.906 DEBUG 3183 --- [nio-8080-exec-4] s.s.w.c.SecurityContextPersistenceFilter : SecurityContextHolder now cleared, as request processing completed
2015-11-27 11:38:47.912 ERROR 3183 --- [nio-8080-exec-4] o.a.c.c.C.[.[.[/].[dispatcherServlet] : Servlet.service() for servlet [dispatcherServlet] in context with path [] threw exception
org.springframework.ldap.AuthenticationException: No key to store; nested exception is javax.naming.AuthenticationException: No key to store [Root exception is javax.security.auth.login.LoginException: No key to store]
现在应用程序似乎可以验证我的用户,但我不知道它是否可以找到我的用户信息。
在cr.openjdk.java.net/~weijun/7201053/webrev.00/raw_files/new/src/share/classes/com/sun/security/auth/module/Krb5LoginModule.java查看Krb5LoginModule.java的源码,可以发现登录异常,没有key存储,通过简单的搜索。代码说我的 ktab(我猜是 keytab)是空的。奇怪的是,控制台输出确实显示当我尝试使用浏览器导航时,keytab 为空,即使我启动应用程序时它不是空的。
有谁知道为什么当我有用户尝试访问我的应用程序时我的密钥表变为空?还是我的应用程序或系统配置有其他问题?
所以我周末就靠这个睡了。奇怪的是,看起来解决方案现在可以工作了,因为从缓存中获取的 TGT 已经过了更新时间。我真的不知道这一切是如何工作的,但现在当我的用户导航到应用程序时,keytab 被接受了。
剩下的唯一问题是 Ldap 无法找到我的用户详细信息,因为用于查询 LDAP 的 Kerberos 用户名不匹配,所以我不得不重新实现 org.springframework.security.ldap.search.FilterBasedLdapUserSearch 来修改用户名。然后解决方案起作用了。
我 运行 遇到了类似的问题,根本原因实际上是 kinit 创建的损坏密钥。解决方案是删除缓存(在 /tmp/kbr5cc_[UID] 下,以及 JAAS 配置文件中 ticketCache="/home/solr/cache" 设置的值中,而不是 运行 kinit 之前启动应用程序。
为了找出发生了什么,我向 JVM 添加了以下标志:-Dsun.security.krb5.debug=true
我看到密钥的开始和结束时间设置为纪元日期:
>>>DEBUG <CCacheInputStream> key type: 0
>>>DEBUG <CCacheInputStream> auth time: Thu Jan 01 00:00:00 UTC 1970
>>>DEBUG <CCacheInputStream> start time: null
>>>DEBUG <CCacheInputStream> end time: Thu Jan 01 00:00:00 UTC 1970
>>>DEBUG <CCacheInputStream> renew_till time: null
这是来自 https://github.com/spring-projects/spring-security-kerberos/tree/master/spring-security-kerberos-samples/sec-server-win-auth corresponding to http://docs.spring.io/spring-security-kerberos/docs/1.0.1.RELEASE/reference/htmlsingle/#samples-sec-server-win-auth 的 Kerberos 示例应用程序。
我所做的只是修改 src/main/resources/application.yml 以适应我的系统,并在创建 SPN 和 Keytab 文件之间来回切换。 我的 spring 应用程序似乎开始正常。下面是通过控制台输出的 Kerberos 配置。
Debug is true storeKey true useTicketCache false useKeyTab true doNotPrompt true ticketCache is null isInitiator false KeyTab is /etc/client-server.keytab refreshKrb5Config is false principal is HTTP/client-server.example.org@REALM tryFirstPass is false useFirstPass is false storePass is false clearPass is false
principal is HTTP/client-server.example.org@REALM
Will use keytab
Commit Succeeded
所以我可以看到客户端应用程序到目前为止已经接受了我的设置。然后我尝试在另一台机器上通过 chrome 访问 client-server:8080/hello 。我得到的第一个错误是 Acces 被拒绝(用户是匿名的)。应该重定向到身份验证入口点。然后我得到以下内容,以“No key to store”结尾
[nio-8080-exec-4] w.a.SpnegoAuthenticationProcessingFilter : Received Negotiate Header for request client-server:8080/favicon.ico: Negotiate YIIHZAYGKwYBBQUCoIIHWDCCB1SgMDAuBgk……./9AdsoFH2ya7C
[nio-8080-exec-4] o.s.s.authentication.ProviderManager : Authentication attempt using org.springframework.security.kerberos.authentication.KerberosServiceAuthenticationProvider
[nio-8080-exec-4] .a.KerberosServiceAuthenticationProvider : Try to validate Kerberos Token
[nio-8080-exec-4] .a.KerberosServiceAuthenticationProvider : Succesfully validated myUsername@REALM
[nio-8080-exec-4] o.s.s.l.s.FilterBasedLdapUserSearch : Searching for user 'myUsername@REALM', with user search [ searchFilter: '', searchBase: 'DC=xxxxx', scope: subtree, searchTimeLimit: 0, derefLinkFlag: false ]
Debug is true storeKey true useTicketCache true useKeyTab true doNotPrompt true ticketCache is null isInitiator true KeyTab is null refreshKrb5Config is false principal is HTTP/client-server.example.org@REALM tryFirstPass is false useFirstPass is false storePass is false clearPass is false
Acquire TGT from Cache
Principal is HTTP/client-server.example.org@REALM
2015-11-27 11:38:47.906 DEBUG 3183 --- [nio-8080-exec-4] w.c.HttpSessionSecurityContextRepository : SecurityContext is empty or contents are anonymous - context will not be stored in HttpSession. 2015-11-27 11:38:47.906 DEBUG 3183 --- [nio-8080-exec-4] s.s.w.c.SecurityContextPersistenceFilter : SecurityContextHolder now cleared, as request processing completed 2015-11-27 11:38:47.912 ERROR 3183 --- [nio-8080-exec-4] o.a.c.c.C.[.[.[/].[dispatcherServlet] : Servlet.service() for servlet [dispatcherServlet] in context with path [] threw exception org.springframework.ldap.AuthenticationException: No key to store; nested exception is javax.naming.AuthenticationException: No key to store [Root exception is javax.security.auth.login.LoginException: No key to store]
现在应用程序似乎可以验证我的用户,但我不知道它是否可以找到我的用户信息。 在cr.openjdk.java.net/~weijun/7201053/webrev.00/raw_files/new/src/share/classes/com/sun/security/auth/module/Krb5LoginModule.java查看Krb5LoginModule.java的源码,可以发现登录异常,没有key存储,通过简单的搜索。代码说我的 ktab(我猜是 keytab)是空的。奇怪的是,控制台输出确实显示当我尝试使用浏览器导航时,keytab 为空,即使我启动应用程序时它不是空的。
有谁知道为什么当我有用户尝试访问我的应用程序时我的密钥表变为空?还是我的应用程序或系统配置有其他问题?
所以我周末就靠这个睡了。奇怪的是,看起来解决方案现在可以工作了,因为从缓存中获取的 TGT 已经过了更新时间。我真的不知道这一切是如何工作的,但现在当我的用户导航到应用程序时,keytab 被接受了。
剩下的唯一问题是 Ldap 无法找到我的用户详细信息,因为用于查询 LDAP 的 Kerberos 用户名不匹配,所以我不得不重新实现 org.springframework.security.ldap.search.FilterBasedLdapUserSearch 来修改用户名。然后解决方案起作用了。
我 运行 遇到了类似的问题,根本原因实际上是 kinit 创建的损坏密钥。解决方案是删除缓存(在 /tmp/kbr5cc_[UID] 下,以及 JAAS 配置文件中 ticketCache="/home/solr/cache" 设置的值中,而不是 运行 kinit 之前启动应用程序。
为了找出发生了什么,我向 JVM 添加了以下标志:-Dsun.security.krb5.debug=true
我看到密钥的开始和结束时间设置为纪元日期:
>>>DEBUG <CCacheInputStream> key type: 0
>>>DEBUG <CCacheInputStream> auth time: Thu Jan 01 00:00:00 UTC 1970
>>>DEBUG <CCacheInputStream> start time: null
>>>DEBUG <CCacheInputStream> end time: Thu Jan 01 00:00:00 UTC 1970
>>>DEBUG <CCacheInputStream> renew_till time: null