Kerberos 双跳问题
Kerberos double-hop issue
所以,在过去的一周里,我一直在尝试解决这个 kerberos 问题。
长话短说,我们有一个服务器,它识别传入的用户做一些工作。最近,我们需要上传一些结果,所以现在委托用户,以便它可以在另一台服务器上授权。问题是,第二天,登录后,服务器无法委托同一用户。形成 AP_REQ 消息时失败并出现 krb5_cc_notfound 错误。
如果我尝试遍历缓存,它会在 krb5_cc_start_seq_get 处失败并出现相同的错误。
如果我尝试获取其他票证(在成功登录后的第二天),它会在 krb5_get_credentials 处失败,并且在进一步尝试时(我猜缓存变得无效?如果它在此时有效)它无法解析默认主体。
缓存类型为 MSLSA。
每次都失败后,我会在事件日志中看到 kerberos 警告,然后是错误。第一个说 'TGT was expired, an attempt to renew was made and failed' ,另一个是 KRB_AP_ERR_TKT_EXPIRED.
我们在 kerberos 方面的经验很少,所以如果您能分享一些经验,那就太好了。
这是第三方库中的错误。它基本上永久存储了 windows 登录句柄。
所以,在过去的一周里,我一直在尝试解决这个 kerberos 问题。
长话短说,我们有一个服务器,它识别传入的用户做一些工作。最近,我们需要上传一些结果,所以现在委托用户,以便它可以在另一台服务器上授权。问题是,第二天,登录后,服务器无法委托同一用户。形成 AP_REQ 消息时失败并出现 krb5_cc_notfound 错误。
如果我尝试遍历缓存,它会在 krb5_cc_start_seq_get 处失败并出现相同的错误。
如果我尝试获取其他票证(在成功登录后的第二天),它会在 krb5_get_credentials 处失败,并且在进一步尝试时(我猜缓存变得无效?如果它在此时有效)它无法解析默认主体。
缓存类型为 MSLSA。
每次都失败后,我会在事件日志中看到 kerberos 警告,然后是错误。第一个说 'TGT was expired, an attempt to renew was made and failed' ,另一个是 KRB_AP_ERR_TKT_EXPIRED.
我们在 kerberos 方面的经验很少,所以如果您能分享一些经验,那就太好了。
这是第三方库中的错误。它基本上永久存储了 windows 登录句柄。