如何生成login.conf和krb5.ini以与Java Kerbernos Http客户端一起使用，从而使用Active Directory kerberos进行身份验证？

我想使用Kerberos从Java应用程序对受IIS Kerberos保护的网站进行身份验证。目标是能够使用keytab文件向服务帐户进行身份验证，而无需指定用户名和密码

。但是它需要几个特殊的配置文件login.conf和krb5.ini

格式为登录配置，如下所述：

krb5.ini文件的格式如下所述：

我还发现了一些相关的sof文章（如下所列）

但它们似乎都没有描述实际创建

login.conf

文件和

krb5.conf

/

krb5.ini

文件以用于Active Directory的过程

生成这些文件以用于Windows Active Directory kerberos情况的步骤是什么

这是我到目前为止所拥有的，但我完全脱离了我从朋友和网上随机链接中找到的例子

login.conf

KrbLogin {
  com.sun.security.auth.module.Krb5LoginModule required
  useKeyTab=true
  storeKey=true
  keyTab="file:///C:/kerb/kerberos500.keytab"
  useTicketCache=true
  principal="kerberos500@FUSIONIS.LIFE"
  debug=true;
};

com.sun.security.jgss.initiate {
  com.sun.security.auth.module.Krb5LoginModule required
  useKeyTab=true
  storeKey=true
  keyTab="/home/ndipiazza/lucidworks/httpclient-tester/kb.keytab"
  useTicketCache=true
  principal="kerberos500@FUSIONIS.LIFE"
  debug=true;
};

krb5.ini

[libdefaults]
    default_realm = FUSIONIS.LIFE
    default_tkt_enctypes = aes128-cts-hmac-sha1-96 rc4-hmac
    default_tgs_enctypes = aes128-cts-hmac-sha1-96  rc4-hmac
    permitted_enctypes = aes128-cts-hmac-sha1-96 rc4-hmac
    dns_lookup_realm = false
    dns_lookup_kdc = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    udp_preference_limit = 1

[realms]
FUSIONIS.LIFE = {
   kdc = 192.168.1.71
   admin_server = 192.168.1.71
}

[domain_realm]
.fusionis.life = FUSIONIS.LIFE
fusionis.life = FUSIONIS.LIFE

在Windows上创建键选项卡

ktpass /princ kerberos500@FUSIONIS.LIFE /pass password /ptype KRB5_NT_PRINCIPAL /out kerberos500.keytab

在Ubuntu Linux上创建密钥表

ktutil
addent -password -p kerberos500@FUSIONIS.LIFE -k 1 -e RC4-HMAC
- it will ask you for password of kerberos500 -
wkt kerberos500.keytab
q

相关SOF：

---

我想问了这个问题后，答案是->使用我提供的文档链接来了解在这些文件中放置什么，然后自己设置它们。找到一个例子让你开始是很有用的（我已经做了）。没有生成这些命令。这完全是手动操作。

我想问了这个问题后，答案是->使用我提供的文档链接来了解在这些文件中放置什么，然后自己设置它们。找到一个例子让你开始是很有用的（我已经做了）。没有生成这些命令。这完全是手动的。请把你的评论变成一个答案，并自我标记为接受。这样做是可以的。这也向其他可能也在搜索同一问题的人指出了这一点。