在Java 6上运行的JMX客户端/服务器上支持Kerberos身份验证/授权

通京

2023-03-14

问题内容：

我有我的JMX服务器，该服务器注册从本地文件读取的bean，并根据需要将其提供给其他JMX客户端。可以使用“
jconsole”或通过在Tomcat容器下运行的Java应用程序访问服务器。

我想要的是添加身份验证，以防止“未知”身份访问JMX Server。为此，我使用以下JVM选项添加了Kerberos身份验证@服务器

-Dcom.sun.management.jmxremote=true
-Dcom.sun.management.jmxremote.port=5555
-Dcom.sun.management.jmxremote.authenticate=true
-Dcom.sun.management.jmxremote.ssl=false
-Djava.security.auth.login.config=./conf/jaas.conf
-Djava.security.krb5.conf=./conf/krb5.conf
-Dcom.sun.management.jmxremote.login.config=MyKrbAuth
-Ddynamic.mbean.store=./conf/mbeans
-Djava.net.preferIPv4Stack=true

我的jaas.conf看起来像这样>>

MyKrbAuth {
com.sun.security.auth.module.Krb5LoginModule required debug=true debugNative=true;
};

当我以上述配置启动我的JMX服务器并尝试使用“ jconsole”连接它时，在客户端出现以下异常，连接失败>>

Cipher: Crypto Permission check failed
Cipher: granted: (CryptoPermission * 128)
Cipher: requesting: (CryptoPermission AES 256)

但是在服务器身份验证看来是成功的>>

[java] [STARTED] Mbean Server
[java] Debug is  true storeKey false useTicketCache false useKeyTab false doNotPrompt false ticketCache is null isInitiator true KeyTab is null refreshKrb5Config is false principal is null tryFirstPass is false useFirstPass is false storePass is false clearPass is false
[java] [Krb5LoginModule] user entered username: username
[java] 
[java] Acquire TGT using AS Exchange
[java] principal is user@localhost.com
[java] EncryptionKey: keyType=3 keyBytes (hex dump)=0000: FD 46 7C 02 19 9B 34 E9   
[java] EncryptionKey: keyType=1 keyBytes (hex dump)=0000: FD 46 7C 02 19 9B 34 E9   
[java] EncryptionKey: keyType=23 keyBytes (hex dump)=0000: FE 6D 82 01 8A D7 AB 60   98 
[java] EncryptionKey: keyType=16 keyBytes (hex dump)=0000: 89 02 31 5D F7 5B 3E 89   BC F7 8A 01 A1 80 C7 
[java] EncryptionKey: keyType=17 keyBytes (hex dump)=0000: A5 67 71 17 F6 57 A9 26   01 09 B1 EB 75 46 6C 
[java] 
[java] Commit Succeeded 
[java]

从上面看来，客户端无法解码响应（已加密AES256）。

问题答案：

解决了上述问题。以下是在您的JMX客户端/服务器上引入Kerberos身份验证/授权的步骤

要启用Kerberos @ JMX服务器，

使用以下一组args启动服务器=>
```
-Dcom.sun.management.jmxremote=true
```
-Dcom.sun.management.jmxremote.port=
-Dcom.sun.management.jmxremote.authenticate=true
-Dcom.sun.management.jmxremote.ssl=false
-Djava.security.auth.login.config=
-Djava.security.krb5.conf=
-Dcom.sun.management.jmxremote.login.config=
-Djava.net.preferIPv4Stack=true
在$ JAVA_HOME / jre / lib / management / jmxremote.access中添加访问条目。一旦用户通过身份验证，将基于jmxremote.access提供对JMX服务器的读/写访问权限。可以在服务器启动时使用以下jvm arg提供.access文件的位置
```
-Dcom.sun.management.jmxremote.access.file=<acees_control_file>
```

启用Kerberos @ JMX客户端（jconsole）

使用调试选项启动jconsole并连接到服务器
```
jconsole -J-Djava.security.debug=all
```
如果请求的加密是AES256，则下载无限强度的加密策略jar文件，提取策略文件并将其放在$ JAVA_HOME / jre / lib / security /中。[感谢Mark指出了政策的包容性。]

上面的内容应该使Kerberos在JMX客户端和JMX服务器端均可工作

如果仍然遇到连接问题，则可以使用logging.properties文件=>为jconsole启用详细调试

handlers = java.util.logging.ConsoleHandler
.level = INFO
java.util.logging.ConsoleHandler.level = FINEST
java.util.logging.ConsoleHandler.formatter = java.util.logging.SimpleFormatter
// Use FINER or FINEST for javax.management.remote.level - FINEST is very verbose...
javax.management.level = FINEST
javax.management.remote.level = FINER

并使用以下命令启动jconsole

jconsole -J-Djava.util.logging.config.file=<location_of_logging.properties>

在Java 6上运行的JMX客户端/服务器上支持Kerberos身份验证/授权

相关阅读

相关文章

相关问答

相关工具

相关文档