GSSAPI中的javax.naming.AuthenticationException

Question

我正在嘗試使用JAVA GSSAPI執行NTLM綁定。

我收到此錯誤：

javax.naming.AuthenticationException：GSSAPI [根本異常是javax.security.sasl.SaslException：GSS啟動失敗[由GSSException引起：沒有提供有效的憑據（機制級別：票證請求中的無效選項設置。（101））]]

我認為（不確定）過去曾經奏效。 為了解決其他問題，我嘗試了“ kinit”。 從那時起停止工作。 我什至刪除了緩存文件（在Windows中找不到kclear），但仍然有此問題。

我該如何解決？

Answer 1

可能對您進行故障排除有幫助：

原因： Kerberos需要在KDC和客戶端上的時間進行松散同步。 （默認值為5分鍾之內。）如果不是這種情況，則會出現此錯誤。

解決方案：同步時鍾（或讓系統管理員同步）。

要么

原因：如果沒有獲得有效的Kerberos憑據，則可能會發生這種情況。 特別是，如果您希望基礎機制獲取憑據，但是卻忘記了通過將javax.security.auth.useSubjectCredsOnly系統屬性值設置為false（例如，通過-Djavax.security.auth.useSubjectCredsOnly = false來指示），則會發生這種情況。您的執行命令）。

解決方案：如果希望底層機制而不是應用程序或包裝程序（例如，某些教程使用的Login實用程序）獲取憑據，請確保將javax.security.auth.useSubjectCredsOnly系統屬性值設置為false。使用JAAS執行身份驗證。

Answer 2

好，解決了

我有

可替代=正確

在我的krb5文件中。

刪除它，它的工作原理！

Answer 3

對於未創建為可轉發的Kerberos票證，我遇到了相同的問題（完全相同的Java錯誤堆棧）。

Kerbros票證更新/監控過程是用Perl編寫的，並使用Authen :: Krb5 :: Easy Perl模塊，並且忽略了/etc/krb5.conf的“ forwardable = true”設置。