Fatal编程技术网
  • c/
  • GSS-API错误接受上下文:服务密钥不可用-Solaris代码,Windows KDC

GSS-API错误接受上下文:服务密钥不可用-Solaris代码,Windows KDC

c

GSS-API错误接受上下文:服务密钥不可用-Solaris代码,Windows KDC,c,kerberos,gssapi,C,Kerberos,Gssapi,我正在尝试获取一个针对Active Directory的测试Kerberos客户机/服务器对。我在公司网络的一个备用域中创建了三个用户,“RichardC”、“Server1”和“Server2”。我的服务器用户已映射到不同的服务主体名称,一个使用KRB5_NT_主体,另一个使用KRB5_NT_SRV_主机 ktpass -out server2.keytab -princ server2/serbia.mydomain.com@BENCHMARKING.RDDEV.LOC

我正在尝试获取一个针对Active Directory的测试Kerberos客户机/服务器对。我在公司网络的一个备用域中创建了三个用户,“RichardC”、“Server1”和“Server2”。我的服务器用户已映射到不同的服务主体名称,一个使用KRB5_NT_主体,另一个使用KRB5_NT_SRV_主机

ktpass -out server2.keytab 
          -princ server2/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL
          -mapuser ServerUser2@BENCHMARKING.RDDEV.LOCAL
          -pass ThePassword
          -crypto All
          -pType KRB5_NT_SRV_HOST
          -kvno 2
这次我没有使用+DesOnly选项,希望在今天的系统中我不需要DES。在这个问题上,我用mydomain替换了真实域名,以避免管理层的担忧

这给了我一个键盘。我可以列出:

KVNO Principal
---- --------------------------------------------------------------------------
   2 server2/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL (DES cbc mode with CRC-32)
   2 server2/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL (DES cbc mode with RSA-MD5)
   2 server2/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL (ArcFour with HMAC/md5)
   2 server2/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL (AES-256 CTS mode with 96-bit SHA-1 HMAC)
   2 server2/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL (AES-128 CTS mode with 96-bit SHA-1 HMAC)
我甚至可以使用kinit-k来使用keytab中的键登录,所以它似乎可以工作

我有我自己的测试程序,如果不通过,我将从中删除测试程序。在该程序中,在服务器上,我将GSS_C_NT_HOSTBASED_服务更改为GSS_C_NT_USER_NAME,并使用两个键选项卡使其能够识别名称。我正在运行Oracle演示服务器

./gss-server -mech 1.2.840.113554.1.2.2 server2/serbia.mydomain.com
客户呢

./gss-client -mech 1.2.840.113554.1.2.2 serbia.mydomain.com server2 "Hello"
结果是:

GSS-API error accepting context: Invalid credential was supplied
GSS-API error accepting context: Service key not available
在这种情况下,在我自己的测试代码中,错误发生在客户端发送第一个令牌之后,而服务器正在尝试解码它

klist显示为客户端授予的密钥。它使用的是键表中的ArcFour

Default principal: RichardC@BENCHMARKING.RDDEV.LOCAL

Valid starting                Expires                Service principal
07/25/11 17:36:49  07/26/11 03:35:18  krbtgt/BENCHMARKING.RDDEV.LOCAL@BENCHMARKING.RDDEV.LOCAL
    renew until 08/01/11 17:36:49
07/25/11 17:36:03  07/26/11 03:35:18  server2/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL
    renew until 08/01/11 17:36:03
UNIX机器(塞尔维亚)可能属于另一个领域(我在这里称之为mydomain.com),尽管它似乎没有Kerberos设置。我使用的是一个本地krb5.conf文件,我已经指向了BENCHMARKING.RDDEV.local域,但是如果机器尝试使用DNS及其主机名,它可能会得到错误的答案。我的krb5.conf

[libdefaults]
    default_keytab_name = /users/dev/core/richardc/server1.keytab
    default_realm = BENCHMARKING.RDDEV.LOCAL
    dns_lookup_kdc = false
    default_tkt_types = DES-CBC-MD5

[realms]
BENCHMARKING.RDDEV.LOCAL = {
    kdc = gbha-dcbench01p.benchmarking.rddev.local
    admin_server = gbha-dcbench01p.benchmarking.rddev.local
}

[domain_realm]
benchmarking.rddev.local = BENCHMARKING.RDDEV.LOCAL
.benchmarking.rddev.local = BENCHMARKING.RDDEV.LOCAL
mydomain.com = BENCHMARKING.RDDEV.LOCAL
.mydomain.com = BENCHMARKING.RDDEV.LOCAL
看起来像是默认类型的选项无效

问题是-我如何修复我的错误

谢谢 -理查德

问题出在

ktpass -out server2.keytab 
      -princ server2/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL
      -mapuser ServerUser2@BENCHMARKING.RDDEV.LOCAL
      -pass ThePassword
      -crypto All
      -pType KRB5_NT_SRV_HOST
      -kvno 2
这会导致Windows增加密钥版本号。出于某种原因,生成的密钥对于“kinit-k”登录不是问题,但确实会导致GSS-API服务器代码在Solaris系统上失败,导致“Service key not available”(服务密钥不可用)

Windows系统是2008R2。我知道此命令的行为在不同版本的Windows中有所不同

我已成功地使用DesOnly进行了测试。我需要回到陷入困境的IT部门进行其他测试:-)

解决方案是忽略-kvno参数

 ktpass -out server4.keytab 
      -princ server4/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL
      -mapuser ServerUser4@BENCHMARKING.RDDEV.LOCAL
      -pass ThePassword
      -crypto DES-CBC-MD5
      -pType KRB5_NT_USER_PRINCIPAL
这给出了输出

Targeting domain controller: GBHA-DCBENCH01P.benchmarking.rddev.local
Using legacy password setting method
Successfully mapped server4/serbia.mydomain.com to Server4.
Key created.
Output keytab to server4.keytab:
Keytab version: 0x502
keysize 79 server4/serbia.mydomain.com@BENCHMARKING.RDDEV.LOCAL ptype 1
     (KRB5_NT_PRINCIPAL) vno 5 etype 0x3 (DES-CBC-MD5) keylength 8 (0xd1532a6d0f2a8631)
Account Server4 has been set for DES-only encryption.
注意输出中的“vno 5”

我已经用-pType的两个值进行了测试。两者都有效

我的GSS代码使用的是GSS_C_NT_HOSTBASED_服务,但所有这些似乎都改变了输入名称所需的格式

(我已经换了上面的钥匙)

补遗 我的最终解决方案使用-p类型KRB5\u NT\u USER\u PRINCIPAL

我的GSS代码使用GSS_C_NT_USER_NAME查找名称,并指定全名server4/serbia.mydomain。com@BENCHMARKING.RDDEV.LOCAL。我发现并不是所有我工作的平台都接受GSS_C_NT_HOSTBASED_服务,但它们都接受GSS_C_NT_用户名

安装服务器应用程序的人员将服务器主体名称设置为配置选项。这似乎是最可靠的方法。设置密钥的人知道它是什么,直接告诉应用程序使用什么密钥