Kerberos 身份验证密钥表 KVNO
Posted
技术标签:
【中文标题】Kerberos 身份验证密钥表 KVNO【英文标题】:Kerberos Authentication keytab KVNO 【发布时间】:2012-08-22 11:46:22 【问题描述】:我有一个网络环境,其中以企业标准设置了 kerberos 身份验证(即用户的密码只能使用 30 天)。我已经在这个系统上安装了我的 java web 应用程序,它使用由 KDC 生成的 keytab 文件。一切正常,直到客户用户在 30 天后更改他的网络密码。 Goggling 发现这是由于 KVNO 不同步造成的。因此,据我了解,客户端浏览器发送的 KVNO 问题与 keytab 的 KVNO 不同步。我对这个网络协商步骤知之甚少(我使用弹簧安全),所以我正在等待你们的专业知识来解决这个问题。提前致谢。
java.security.PrivilegedActionException: GSSException: Failure unspecified at GSS-API level (Mechanism level: Specified version of key is not available (44))
【问题讨论】:
【参考方案1】:每次更改帐户密码时,其KVNO都会增加。这会使该帐户的所有密钥表无效。 据我了解您的问题,这就是您为其创建密钥表的服务主体发生的情况,对吗?在这种情况下,您需要重新创建密钥表。
【讨论】:
用于生成 keytab 文件的帐户保持不变。所有其他帐户每 30 天更改一次密码。【参考方案2】:经过一番研究,我发现 Java 1.6 更新 23 到 26 存在与此相关的问题。更新到最新的 Java 为我解决了这个问题。感谢您的输入。
【讨论】:
以上是关于Kerberos 身份验证密钥表 KVNO的主要内容,如果未能解决你的问题,请参考以下文章