KRBError:KDC 无法容纳请求的选项 - 当启用约束委派时
[英]KRBError: KDC cannot accommodate requested option - when Constrained Delegation is Enabled
问题描述
Having got an SSO solution fully working using Spnego/Kerberos within a Windows Tomcat environment which allows my windows domain user to be used to make a connection to an IBMi via JTOpen which then uses EIM to map my Windows user to an IBM user to log me进入 IBMi。
我在 KDC 上有两个 SPN 设置,启用了对任何 Kerberos 服务的委派:
HTTP/windows.mydomain@MYDOMAIN
krbsvr400/ibmi.mydomain@MYDOMAIN
然后在 KDC 上启用约束委派:
HTTP/windows.mydomain@MYDOMAIN
我在连接到 IBMi 时遇到了这个 Kerberos 错误:
>>> KDCRep: init() encoding tag is 126 req type is 13
>>>KRBError:
sTime is Thu Jun 16 21:06:47 BST 2022 1655410007000
suSec is 417830
error code is 13
error Message is KDC cannot accommodate requested option
sname is krbsvr400/ibmi.mydomain@MYDOMAIN
eData provided.
msgType is 30
Unknown eData field of KRB-ERROR:
0000: 30 15 A1 03 02 01 03 A2 0E 04 0C 25 02 00 C0 00 0..........%....
0010: 00 00 00 03 00 00 00 .......
到目前为止,我还无法通过此 Kerberos 错误继续前进。
1 个解决方案
解决方案1
0 2022-08-12 09:45:40
我在使用相同的 output 时遇到了同样的问题。
您的 KDC 服务器是否在 Server 2012 或更早版本上运行?
就我而言,解决方案是更改 KDC 上的 SPN 设置。 不要委托给任何 Kerberos 服务,而是尝试使用选项“信任用户仅委托给指定的服务”,然后“使用任何身份验证协议”放置您的服务:
krbsvr400/ibmi.mydomain@MYDOMAIN
在名单上
查看这篇关于约束委派问题的文章
因此,您应该检查您的 KDC 是否在支持约束委派的系统上运行。 如果是,请尝试更改上述信任选项。
如何在请求servlet时在Tomcat中初始化webapp
[英]How to initialize a webapp in Tomcat only when the servlet is requested
在启用了安全管理器的情况下使用tomcat时,安全连接失败
[英]Secure Connection Failed when using tomcat with security manager enabled
tomcat 错误:java.net.BindException:无法分配请求的地址(绑定失败)
[英]tomcat error: java.net.BindException: Cannot assign requested address (Bind failed)
启用cookie后,为什么jsessionid出现在Wicket URL中?
[英]Why is jsessionid appearing in Wicket URLs when cookies are enabled?
使用启用了安全管理器的Tomcat时,在类路径中找不到属性文件
[英]Properties file not found in classpath when using Tomcat with security manager enabled
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.