问题标签 [gssapi]

为什么我不能使用 Cygwin 用 Kerberos 票证连接到主机？这是我的配置：

这是我在 ssh 尝试中得到的结果：

似乎我从来没有尝试过 gssapi-with-mic auth 方法这是为什么？我需要在 krb5.conf 文件中指定什么？谢谢

我正在尝试将 gssapi 集成到 node.js 中。我不确定如何表示这一点：

该gss_init_sec_context函数包含许多基于结构的参数，其中一些嵌套非常深。例如这个结构：

因此，基于此，我猜我需要实现某种结构（使用 ref-struct）来表示krb5指针（因为正在使用 kerberos5）。所以我看着这个_gss_krb_ctx_struct，看到了这个......

其中 Shishi 是指向库的指针，而 shishi_ap 似乎是指向函数的指针。我不确定如何在 node-ffi 中实现这些东西。有人可以在这里给我一些指导吗？

使用 Oracle JDK 时，可以使用“org.ietf.jgss.GSSCredential”并使用“com.sun.security.jgss.GSSUtil.class”类从中创建主题。

我正在寻找的是如何使用 IBM JDK 实现等价物。

在 Oracle JDK 上，获得的 Subject 然后在 Subject.doAs 调用中用于正在进行的出站连接，但我无法在 IBM 上实现这一点，因为我无法将 GSSCredential 转换为可用的 Subject。

我看过下面的 IBM 票，但我看不到他们提到的 SPI 类如何提供这个： - http://www-01.ibm.com/support/docview.wss?uid=swg1IZ45390

我正在尝试使用 c 中的 gssapi 编写一个 kerberos 感知应用程序。我一直在关注这个网站gss_import_name上的指南，但是在我的缓冲区中调用时我被卡住HOST/SERVER-NAME了..

我不断收到错误“在 Kerberos 数据库中找不到服务器”。

我正在尝试使用预装的 gssglue 库从运行 Centos 6.5 的 linux 机器连接到 Windows 服务器。我按照本指南将我的 linux 机器连接到 windows 域。简而言之，我运行authconfig了一堆命令，然后net ads join. 我可以使用我的 Windows 域密码成功调用 kinit，所以我知道我正在通过域进行身份验证。

如何将此服务器添加到我的 Kerberos 数据库？

我想制作一个程序来使用 gss-api/kerberos 进行流量授权。到目前为止，我可以联系 SSOS 并获得服务票。如果用户没有 TGT，我将在我的代码中执行类似于 kinit 的操作。

我的代码以用户在其缓存中同时拥有 TGT 和服务票证结束。以下方法将读取服务器发送的令牌。

现在 outputBuffer 是空的。我的意思是，我自己没有传递任何东西。我可以做？

我想联系另一台服务器（服务），他们将检查我的票，如果有效，允许我通过他发送流量。

使用 GSSAPI 我如何验证这样的事情？我知道诸如 wrap/unwrap 之类的方法。服务会话密钥存储在客户端的什么位置？我在服务服务器中收到票后如何验证它？

如果我混淆了一些概念，我很抱歉，但这是我第一次使用如此复杂的 API。

提前致谢...

我正在使用 Java 6 为 ssh 客户端编写 UserAuthGss。服务器在接收到第一个客户端令牌后，在该令牌上调用 GSSContext.acceptSecContext。服务器抛出此异常：

GSSException：在 GSS-API 级别未指定失败（机制级别：无效参数 (400) - 找不到适当类型的密钥来解密 AP REP - 使用 HMAC SHA1-96 的 AES128 CTS 模式）

在 Java 7 中找到http://bugs.java.com/view_bug.do?bug_id=6907425并想知道是否有人遇到过类似的问题。

我正在使用带有 kerberos 的 SASL 身份验证设置 openLDAP。我对这个身份验证有问题。

首先，我使用 kinit 获得 kerberos 票证。当我制作 klist 时，会显示票证。所以，没问题。但是当我尝试制作 ldapwhoami 时。我收到一个错误：

我不知道在哪里搜索了。请帮我。

我正在尝试在 Apache 2.2.15-30 (CentOs 6.5) 上设置 Kerberos 身份验证，但遇到了一个我无法调试或解决的问题。我可以在 KDC 日志中看到 TGS 请求，并且 Firefox 发送了正确的 Authorization: Negotiate 标头，但是 Apache 中出现了问题，我得到了 HTTP 500。

krb5kdc.log

阿帕奇错误日志

HTTP 转储

kdc.conf

/etc/krb5.conf

auth_kerb.conf

klist -e -k /etc/httpd/conf/http.keytabb

有谁知道问题可能是什么？我会非常感谢任何评论。

谢谢你，马丁

我正在努力在我的应用程序中启用 Kerberos 身份验证/委托。

我的设置：客户端是任何网络浏览器。该服务器在 Windows 上运行并托管我的一些服务，其中 Apache/Tomcat 作为前端。服务器可以将工作委派给我在一台或多台机器上的一项或多项服务。我的服务在 Java 中运行，但通过 JNI 调用 C++ 代码，并且 C++ 代码连接到数据源（对于大多数关系数据源，通过 ODBC）。目前我正在通过其 ODBC 驱动程序连接到 SQL Server。

我在 Apache 中设置了 mod_auth_kerb，它能够使用 Kerberos 对用户进行身份验证。我的问题：如何使用已建立的安全上下文来模拟将调用 ODBC 驱动程序的 SQLDriverConnect 调用的线程？我有一个工作原型，它使用 LogonUser 和 ImpersonateLoggedonUser API 登录特定用户（使用她的用户名和密码）并在调用 SQL Server ODBC 驱动程序上的 SQLDriverConnect 调用的线程上模拟她。但我不知道如何使用 GSSAPI 建立的安全上下文/委托上下文 (gss_ctx_id_t/gss_cred_id_t) 来模拟我的线程。换句话说，如何将 GSSAPI 的句柄转换为 SSPI 句柄，以便我可以调用 ImpersonateSecurityContext 或 ImpersonateLoggedonUser 或类似的 Win32 API。

任何帮助，将不胜感激。谢谢！埃德

我将 java GSS-API 与 kerberos 一起使用。当我使用主机名时它工作正常：

ldapUrl = ldap://myhost.mydomain.net

但是当我用户喜欢：

它产生错误：在 Kerberos 数据库中找不到服务器。但是 mydomain.net 是表示主机池的域别名。如果我将从池中选择单独的主机并使用 - 有效，则使用别名时 - 无效。什么原因？