Kerberos 身份验证密钥表 KVNO

Posted 2023-02-27

【中文标题】Kerberos 身份验证密钥表 KVNO

【英文标题】：Kerberos Authentication keytab KVNO

【发布时间】：2012-08-22 11:46:22

【问题描述】：

我有一个网络环境，其中以企业标准设置了 kerberos 身份验证（即用户的密码只能使用 30 天）。我已经在这个系统上安装了我的 java web 应用程序，它使用由 KDC 生成的 keytab 文件。一切正常，直到客户用户在 30 天后更改他的网络密码。 Goggling 发现这是由于 KVNO 不同步造成的。因此，据我了解，客户端浏览器发送的 KVNO 问题与 keytab 的 KVNO 不同步。我对这个网络协商步骤知之甚少（我使用弹簧安全），所以我正在等待你们的专业知识来解决这个问题。提前致谢。

java.security.PrivilegedActionException: GSSException: Failure unspecified at GSS-API level (Mechanism level: Specified version of key is not available (44))  

【参考方案1】：

每次更改帐户密码时，其KVNO都会增加。这会使该帐户的所有密钥表无效。 据我了解您的问题，这就是您为其创建密钥表的服务主体发生的情况，对吗？在这种情况下，您需要重新创建密钥表。

【讨论】：

用于生成 keytab 文件的帐户保持不变。所有其他帐户每 30 天更改一次密码。

【参考方案2】：

经过一番研究，我发现 Java 1.6 更新 23 到 26 存在与此相关的问题。更新到最新的 Java 为我解决了这个问题。感谢您的输入。