在Websphere Application Server上配置Kerberos时出现问题

2 回答

• 1

  仅在 Global security > SPNEGO web authentication 上指定它，而不是在Kerberos配置页面上指定它 . 如果krb5.conf文件中的keytab路径正确，则只提供conf文件的路径就足够了（keytab是可选的） .

  UPDATE
  在过滤器定义中，您应该：

  Host name: server1.sw.mail.com  
  Kerberos realm name:  POC.MAIL.COM  
  Filter criteria: yourFilterCriteria
  Trim Kerberos realm from principal name - checked
  

  请在此处查看配置详细信息：Enabling and configuring SPNEGO web authentication using the administrative console

  用于Java EE安全性的web.xml中的最小配置 . 并且您必须在服务器配置中启用 Application Security ，并将userRole映射到注册表中的某些用户/组 .

  <security-constraint>
          <display-name>constraint</display-name>
          <web-resource-collection>
              <web-resource-name>all resources</web-resource-name>
              <url-pattern>/*</url-pattern>
          </web-resource-collection>
          <auth-constraint>
              <role-name>userRole</role-name>
          </auth-constraint>
      </security-constraint>
  

  回复于 2024-05-07T20:06:01+08:00
• 1

  有点迟到的答案 .

  通过运行ktpass命令重新生成密钥表文件：

  ktpass -out file.keytab -princ HTTP / server1.SW.MAIL.COM @ POC.MAIL.COM -mapuser your-user -pass your-pwd -ptype KRB5_NT_PRINCIPAL

  解决错误：

  org.ietf.jgss.GSSException, major code: 11, minor code: 0
      major string: General failure, unspecified at GSSAPI level
      minor string: Cannot get credential for principal HTTP/appserver.example.com@EXAMPLE.COM
  

  生成密钥表文件时，可以归结为以下规则：

  • 主要服务必须遵循格式

  <service name>/<fully qualified hostname>@KerberosRealm

  • 仔细检查主要服务的拼写

  • 服务名称必须全部为大写，即HTTP而不是http

  • Kerberos领域也必须全部为大写，并且

  • 必须在/ etc / host文件或DNS服务器中找到主机名 .

  ---

  资料来源：

  • http://www.ibm.com/support/knowledgecenter/SSAW57_8.5.5/com.ibm.websphere.nd.doc/ae/usec_kerb_auth_mech.html

  • http://www.redbooks.ibm.com/redbooks/pdfs/sg247771.pdf（第477页）

  回复于 2024-05-07T20:06:01+08:00