Wie ein Kerberos-Diensttickets via GSS-API erhalten?
https://stackoverflow.com/questions/370878
-
21-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Wer weiß, wie ein Service-Ticket vom Key Distribution Center erhalten (KDC), um den Java GSS-API verwenden?
Ich habe eine Thick-Client-Anwendung, die zunächst über JAAS authentifiziert den Krb5LoginModule mit dem TGT aus der Ticket-Cache zu holen (Hintergrund: Windows zum Beispiel verwendet eine Kerberos-Implementierung und speichert das Ticket granting Ticket in einem sicheren Speicherbereich). Von den Loginmanagern habe ich das Subject-Objekt, das die TGT enthält. Nun hoffte ich, wenn ich ein bestimmtes Objekt GSSCredential für meinen Dienst zu erstellen, wird das Service-Ticket setzt in den privaten Anmeldeinformationen Gegenstand als auch (ich habe so irgendwo im Netz gelesen). Also habe ich versucht, die folgenden:
// Exception handling ommitted
LoginContext lc = new LoginContext("HelloEjbClient", new DialogCallbackHandler());
lc.login()
Subject.doAs(lc.getSubject(), new PrivilegedAction() {
public Object run() {
GSSManager manager = GSSManager.getInstance();
GSSName clientName = manager.createName("clientUser", GSSName.NT_USER_NAME);
GSSCredential clientCreds = manager.createCredential(clientName, 8 * 3600, createKerberosOid(), GSSCredential.INITIATE_ONLY);
GSSName serverName = manager.createName("myService@localhost", GSSName.NT_HOSTBASED_SERVICE);
manager.createCredential(serverName, GSSCredential.INDEFINITE_LIFETIME, createKerberosOid(), GSSCredential.INITIATE_ONLY);
return null;
}
private Oid createKerberosOid() {
return new Oid("1.2.840.113554.1.2.2");
}
});
Leider bekomme ich einen GSSException: Keine gültigen Anmeldeinformationen zur Verfügung gestellt (Mechanism Ebene: Fehler aller Kerberos TGT zu finden).
Lösung
Mein Verständnis des Service-Ticket zu bekommen war falsch. Ich brauche nicht die Anmeldeinformationen aus dem Dienst zu erhalten - das auf dem Client nicht möglich ist, weil der Client nicht wirklich ein TGT für den Server hat und deshalb nicht die Rechte hat die Service-Anmeldeinformationen zu erhalten. Was hier nur noch fehlt, ist ein neues GSSContext zu erstellen und zu initialisieren. Der Rückgabewert dieser Methode enthält das Service-Ticket, wenn ich das richtig verstanden habe. Hier ist ein Arbeitscodebeispiel. Es muss in einem PrivilegedAction im Namen eines protokolliert in Subjekt ausgeführt werden:
GSSManager manager = GSSManager.getInstance();
GSSName clientName = manager.createName("clientUser", GSSName.NT_USER_NAME);
GSSCredential clientCred = manager.createCredential(clientName,
8 * 3600,
createKerberosOid(),
GSSCredential.INITIATE_ONLY);
GSSName serverName = manager.createName("http@server", GSSName.NT_HOSTBASED_SERVICE);
GSSContext context = manager.createContext(serverName,
createKerberosOid(),
clientCred,
GSSContext.DEFAULT_LIFETIME);
context.requestMutualAuth(true);
context.requestConf(false);
context.requestInteg(true);
byte[] outToken = context.initSecContext(new byte[0], 0, 0);
System.out.println(new BASE64Encoder().encode(outToken));
context.dispose();
Die outToken enthält dann enthält das Service-Ticket. Dies ist jedoch nicht die Art und Weise des GSS-API verwendet werden soll. Ihr Ziel war es, diese Details, um den Code zu verstecken, so ist es besser, einen GSSContext mit dem GSS-API auf beiden Seiten zu schaffen. Ansonsten sollten Sie wirklich wissen, was Sie wegen der möglichen Sicherheitslücken tun. Für weitere Informationen über die Sun SSO Tutorial lesen mit kerberos vorsichtiger als ich.
EDIT: Nur vergessen, dass ich mit SP2 Windows XP verwenden. Es gibt ein neues „Feature“ in dieser Version von Windows, die das TGT im Windows-RAM verweigert das verwendet wird. Sie haben die Registrierung zu bearbeiten, dies zu ermöglichen. Weitere Informationen erhalten Sie auf der JGSS Fehlerbehebung Seite Thema, falls Sie eine Erfahrung. „KrbException: KDC keine Unterstützung für Verschlüsselungstyp (14)“ wie ich
Andere Tipps
Ich hatte eine Menge Probleme diesen Code zu verwenden, aber ich habe zumindest eine Lösung. Ich poste es hier, vielleicht wird es einige von ihnen helfen ...
/**
* Tool to retrieve a kerberos ticket. This one will not be stored in the windows ticket cache.
*/
public final class KerberosTicketRetriever
{
private final static Oid KERB_V5_OID;
private final static Oid KRB5_PRINCIPAL_NAME_OID;
static {
try
{
KERB_V5_OID = new Oid("1.2.840.113554.1.2.2");
KRB5_PRINCIPAL_NAME_OID = new Oid("1.2.840.113554.1.2.2.1");
} catch (final GSSException ex)
{
throw new Error(ex);
}
}
/**
* Not to be instanciated
*/
private KerberosTicketRetriever() {};
/**
*
*/
private static class TicketCreatorAction implements PrivilegedAction
{
final String userPrincipal;
final String applicationPrincipal;
private StringBuffer outputBuffer;
/**
*
* @param userPrincipal p.ex. <tt>MuelleHA@MYFIRM.COM</tt>
* @param applicationPrincipal p.ex. <tt>HTTP/webserver.myfirm.com</tt>
*/
private TicketCreatorAction(final String userPrincipal, final String applicationPrincipal)
{
this.userPrincipal = userPrincipal;
this.applicationPrincipal = applicationPrincipal;
}
private void setOutputBuffer(final StringBuffer newOutputBuffer)
{
outputBuffer = newOutputBuffer;
}
/**
* Only calls {@link #createTicket()}
* @return <tt>null</tt>
*/
public Object run()
{
try
{
createTicket();
}
catch (final GSSException ex)
{
throw new Error(ex);
}
return null;
}
/**
*
* @throws GSSException
*/
private void createTicket () throws GSSException
{
final GSSManager manager = GSSManager.getInstance();
final GSSName clientName = manager.createName(userPrincipal, KRB5_PRINCIPAL_NAME_OID);
final GSSCredential clientCred = manager.createCredential(clientName,
8 * 3600,
KERB_V5_OID,
GSSCredential.INITIATE_ONLY);
final GSSName serverName = manager.createName(applicationPrincipal, KRB5_PRINCIPAL_NAME_OID);
final GSSContext context = manager.createContext(serverName,
KERB_V5_OID,
clientCred,
GSSContext.DEFAULT_LIFETIME);
context.requestMutualAuth(true);
context.requestConf(false);
context.requestInteg(true);
final byte[] outToken = context.initSecContext(new byte[0], 0, 0);
if (outputBuffer !=null)
{
outputBuffer.append(String.format("Src Name: %s\n", context.getSrcName()));
outputBuffer.append(String.format("Target : %s\n", context.getTargName()));
outputBuffer.append(new BASE64Encoder().encode(outToken));
outputBuffer.append("\n");
}
context.dispose();
}
}
/**
*
* @param realm p.ex. <tt>MYFIRM.COM</tt>
* @param kdc p.ex. <tt>kerbserver.myfirm.com</tt>
* @param applicationPrincipal cf. {@link #TicketCreatorAction(String, String)}
* @throws GSSException
* @throws LoginException
*/
static public String retrieveTicket(
final String realm,
final String kdc,
final String applicationPrincipal)
throws GSSException, LoginException
{
// create the jass-config-file
final File jaasConfFile;
try
{
jaasConfFile = File.createTempFile("jaas.conf", null);
final PrintStream bos = new PrintStream(new FileOutputStream(jaasConfFile));
bos.print(String.format(
"Krb5LoginContext { com.sun.security.auth.module.Krb5LoginModule required refreshKrb5Config=true useTicketCache=true debug=true ; };"
));
bos.close();
jaasConfFile.deleteOnExit();
}
catch (final IOException ex)
{
throw new IOError(ex);
}
// set the properties
System.setProperty("java.security.krb5.realm", realm);
System.setProperty("java.security.krb5.kdc", kdc);
System.setProperty("java.security.auth.login.config",jaasConfFile.getAbsolutePath());
// get the Subject(), i.e. the current user under Windows
final Subject subject = new Subject();
final LoginContext lc = new LoginContext("Krb5LoginContext", subject, new DialogCallbackHandler());
lc.login();
// extract our principal
final Set<Principal> principalSet = subject.getPrincipals();
if (principalSet.size() != 1)
throw new AssertionError("No or several principals: " + principalSet);
final Principal userPrincipal = principalSet.iterator().next();
// now try to execute the SampleAction as the authenticated Subject
// action.run() without doAsPrivileged leads to
// No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)
final TicketCreatorAction action = new TicketCreatorAction(userPrincipal.getName(), applicationPrincipal);
final StringBuffer outputBuffer = new StringBuffer();
action.setOutputBuffer(outputBuffer);
Subject.doAsPrivileged(lc.getSubject(), action, null);
return outputBuffer.toString();
}
public static void main (final String args[]) throws Throwable
{
final String ticket = retrieveTicket("MYFIRM.COM", "kerbserver", "HTTP/webserver.myfirm.com");
System.out.println(ticket);
}
}
