用户解锁后未重新生成Windows计算机上的Kerberos缓存票证
我有一个Java服务器和客户端应用程序。这些应用程序在Windows计算机上运行。使用kerberos身份验证的服务器上的客户端登录。它是使用jgssapi实现的。
首先,客户端从系统中检索存储的缓存tgt票证,以从kdc生成令牌。问题是-
在Windows中锁定用户会话(锁定屏幕或更改用户)后,系统中没有缓存的tgt票证(由C:\ Windows \ System32 \
klist.exe检查)。据我了解,我可以通过注销/登录计算机上的用户来获取它们。
这个问题发生在我的客户机器上。锁定后,没有空的缓存票证列表。
在我的办公室(带有Windows 7的客户端,Win Server
2008上的活动目录服务器)上未进行复制。锁定后,我始终在计算机上有新的已再生tgt票证(在锁定前不工作,但在解锁后又再次生成)。没有为此行为设置特殊的GPO(关于使用Windows锁定屏幕后删除以前的用户会话Kerboros缓存票证中的缓存票证的问题)。
所以我不明白为什么系统在解锁后不重新生成缓存的tgt?怎么做?
我在这里找到了类似的问题https://social.technet.microsoft.com/Forums/ie/en-
US/be5ebc3b-d915-4acb-a9ae-67c61ee03b97/service-tickets-kerberos-purged-on-
ctrlaltdel?forum= winserverDS&prof =
required
答案之一是“首先查看klist的内容,然后锁定和解锁屏幕。如果您有连接DC的connectino,您将获得本地主机和KDC的服务票证和TGT,如果您没有连接,您将一无所有。”
与AD的连接成功。我可以Ping它。我可以使用AD-explorer获得连接信息。还是与DC的连接不同?
谢谢。
问题答案:
JGSS和SSPI不能一起玩。您要么仅使用JGSS,要么通过JNA开始使用SSPI。
-
我试图在使用JGit拉取回购时使用Kerberos身份验证,但出现以下错误: 来自Ticket Cache的空凭据 [Krb5LoginMoules]身份验证失败 这是我的登录名。形态 我使用自定义的JcshConfigSessionFactory和重写配置方法,如下所示 “klist”说凭证缓存是API(我在MacOS Sierra上)。我怎样才能克服这次失败?
-
我已经编写了一个在Windows下运行的简单JavaHTTP客户端。客户端与需要通过SPNego进行Kerberos身份验证的Web服务器进行通信。 我遇到了两个问题: > 服务票证没有存储在我的凭据缓存中。执行请求后,我希望看到一个Kerberos服务票存储在我的凭据缓存下的
-
问题内容: 我正在使用spnego(http://spnego.sourceforge.net)在JBoss下进行kerberos身份验证。 我需要解密kerberos票证才能访问包含PAC数据的授权数据。需要PAC数据来决定要授予用户哪些角色。 如何访问和解密kerberos票?我在网上搜索了示例,但没有任何努力。 问题答案: 这些家伙具有完整的PAC解码实现: http://jaasloung
-
问题内容: 嗨,当我运行这段代码并返回错误的距离时,不会生成新的随机数。不断产生相同的随机数,从而使我陷入无限循环。有人知道为什么会这样吗?感谢您的光临! 这是输出,如您所见,randomVert从不更改值。 问题答案: 您正在循环中创建背对背的新实例。只需创建一个(在循环之外!),然后在需要新值时询问它随机数。认为它就像在挖一口井- 每次要喝一杯水都不会挖新的井,而是挖一口井,然后根据需要喝多口
-
如何在cmd上运行csr生成命令。exe openssl req-节点-newkey rsa: 2048-keyoutwww_mydomain_com.key-outwww_mydomain_com.csr-subj"/C=BB/ST=CCC/L=DDD/O=EEE。/OU=IT/CN=mydomain.com"
-
我正在运行JMeter,它依赖于JDK 1.8的Krb5LoginMoules。 在我看来,不能跨多个请求维护kerberos会话。这将导致HTTP 401和每次请求前重新握手。 我正试图重现一个有严重间歇性性能问题的生产环境,我希望在测试中包括Kerberos/SSO身份验证,但我无法将其设置为像使用REST服务器的Windows客户端那样运行。 REST服务器向数百个Excel加载项客户端提供