kerberos票证过期时Java客户端挂起
我们已经实现了Kerberos java客户端,它运行良好。然而,当kerberos票证过期时,Java客户端应用程序会在控制台中请求用户名,这反过来会使html" target="_blank">应用程序挂起。在SoapUI等工具中,我们观察到当Kerberos票证过期时,系统抛出未经授权的错误。我们希望实现类似的行为,即如果Kerberos票证过期,则应抛出未经授权的错误,而不是等待用户输入凭据。请帮忙。
为Kerberos测试设置客户端系统步骤1:将项添加到windows注册表:项值项hkey\U local\U machine\system\currentcontrolset\control\lsa\Kerberos值名allowtgtsessionkey值类型reg\U dword值0x01
步骤2:在ClientKerberosA中添加java系统属性uthentication.java主类:System.set属性("javax.security.auth.useSubjectCredsOnly","false");
步骤3:获取票证授予票证(tgt):运行kinit实用程序获取票证授予票证。您可以在/jre/bin目录中找到这个实用程序。例如:C:\Program Files\Java\jdk1.7.0\U 79\bin\kinit spnuser7密码:test@123
ClientKerberosAuthentication.java
public class ClientKerberosAuthentication {
public static Credentials getCredentials() {
return new NTCredentials("", "", "desktop.test.com", "test.com");
}
public static void main(String[] args) throws Exception {
System.setProperty("sun.security.krb5.debug", "true");
System.setProperty("javax.security.auth.useSubjectCredsOnly","false");
DefaultHttpClient httpclient = new DefaultHttpClient();
try {
httpclient.getAuthSchemes().register(AuthPolicy.SPNEGO, new SPNegoSchemeFactory());
Credentials use_jaas_creds = getCredentials();
httpclient.getCredentialsProvider().setCredentials(
new AuthScope(null, -1, null),
use_jaas_creds);
HttpUriRequest request = new HttpGet("http://kerbserver7.com/kerbservice/Service1.svc?wsdl");
HttpResponse response = httpclient.execute(request);
HttpEntity entity = response.getEntity();
System.out.println("----------------------------------------");
System.out.println(response.getStatusLine());
System.out.println("----------------------------------------");
if (entity != null) {
System.out.println(EntityUtils.toString(entity));
}
System.out.println("----------------------------------------");
EntityUtils.consume(entity);
} finally {
httpclient.getConnectionManager().shutdown();
}
}
}
共有1个答案
我认为问题在于缺少jaas配置文件。应该有java.security.auth.login.config的设置。在没有定义jaas的情况下。conf文件中,doNotPompt设置为false(表示将提示)。这与OP观察到的提示中描述的行为相匹配。
解决方案是创建一个jaas配置文件并使用上述属性指定所述文件。在所述jaas.conf文件中,设置doNotPrompt=true。
示例:
com.sun.security.jgss.krb5.initiate {
com.sun.security.auth.module.Krb5LoginModule required
refreshKrb5Config=true
useTicketCache=true
renewTGT=true
doNotPrompt=true
useKeyTab=false
storeKey=true
debug=true
;
};
主要讨论内容在Krb5LoginModule的JavaDocs中
这里还有一些附加信息:http://cr.openjdk.java.net/~weijun/special/krb5winguide-2/raw_files/new/kwin
-
我已经编写了一个在Windows下运行的简单JavaHTTP客户端。客户端与需要通过SPNego进行Kerberos身份验证的Web服务器进行通信。 我遇到了两个问题: > 服务票证没有存储在我的凭据缓存中。执行请求后,我希望看到一个Kerberos服务票存储在我的凭据缓存下的
-
我正在运行JMeter,它依赖于JDK 1.8的Krb5LoginMoules。 在我看来,不能跨多个请求维护kerberos会话。这将导致HTTP 401和每次请求前重新握手。 我正试图重现一个有严重间歇性性能问题的生产环境,我希望在测试中包括Kerberos/SSO身份验证,但我无法将其设置为像使用REST服务器的Windows客户端那样运行。 REST服务器向数百个Excel加载项客户端提供
-
问题内容: Google的Chrome和IE等应用程序可以透明地处理Kerberos身份验证;但是我找不到适合这种透明度的“简单” Java解决方案。我发现的所有解决方案都需要存在一个krb5.conf文件和一个login.conf文件,以上应用似乎还需要这些文件。 用有效的Kerberos SSO功能构建Java应用程序的最佳方法是什么? [更新]:明确地说,我需要一个 CLIENT 端解决方案
-
问题内容: 在我的服务器应用程序中,我正在从Java应用程序连接到受Kerberos保护的Hadoop群集。在应用程序启动时,我会打电话给 我正在使用本机API(例如和)进行基本的File操作 我的应用程序在24小时后引发以下错误。这就是Kerberos票证的到期日。 我的应用程序使用Java 8,并且遇到了此错误。 但是,看起来我的应用程序使用的hadoop- common-2.7.1.2.4.
-
问题内容: 这是该问题的后续问题,在这里我问什么是Hiveserver 2旧版Java客户端API。如果您不需要更多背景信息,那么这个问题应该能够在没有背景的情况下得以解决。 找不到有关如何使用hiverserver2旧版api的任何文档,我将它们放在一起。我能找到的最佳参考是Apache JDBC实现 。 我针对使用以下代码创建的Hiverserver2实例运行此代码 调试时,我从不走线 客户端
-
问题内容: 我正在使用Java 6,并尝试使用客户端证书针对远程服务器创建一个。 服务器正在使用自签名的根证书,并且要求提供受密码保护的客户端证书。我已将服务器根证书和客户端证书添加到在中找到的默认Java密钥库中。密钥库文件的名称似乎表明不应将客户端证书放入其中? 无论如何,将根证书添加到此存储解决了臭名昭著的问题 但是,我现在停留在如何使用客户端证书上。我尝试了两种方法,但都无济于事。 首先,