我在 Windows 上使用 Kerberos(非 Windows 软件生成令牌),并一直在尝试调试问题。在网络跟踪中,我可以看到 IIS 服务器返回了 KRB5KRB_ERR_GENERIC。电子数据字段应该包含问题描述,但它只包含以下字节:
30 0d a1 03 02 01 01 a2 06 04 04 33 01 00 c0
大部分内容都无法打印。这能被解密吗,还是说它与具体实现有关?
答案1
我只能代表 Windows 发言。在电子数据中,您通常会看到由 kerberos 返回的扩展状态代码。
我现在正在查看的跟踪有来自 KDC 的响应,我可以看到一个块,如 72 02 00 C0,其转换为 c0000272。并使用来自http://www.microsoft.com/en-us/download/details.aspx?id=985翻译这些 Windows 错误代码
# for hex 0xc0000272 / decimal -1073741198
STATUS_NO_MATCH ntstatus.h
# There was no match for the specified key in the index.
# as an HRESULT: Severity: FAILURE (1), FACILITY_NULL (0x0), Code 0x272
# for hex 0x272 / decimal 626
ERROR_NO_MORE_MATCHES winerror.h
# There are no more matches for the current index
# enumeration.
# 2 matches found for "c0000272"
在这种情况下,这是因为 SPN 不在 msds-allowedtodelegateto 列表中,因此 KDC 返回此错误以查看它不在列表中。
我不确定你的电子数据是否完整。但有一个看起来像是 Windows 错误代码 33 01 00 c0 的东西。
下面的内容适用于您吗?或者对您有意义吗?
# for hex 0xc0001033 / decimal -1073737677
MSG_CI_IISADMIN_NOT_AVAILABLE querymsg.h
# The IISADMIN service is not available, so virtual roots
# cannot be indexed.%1
# 1 matches found for "c0001033"
答案2
首先尝试通过注册表启用 Kerberos 日志记录(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters,创建 LogLevel 的新 DWORD,值为 0x1) - 看看你的 KRB5KRB_ERR_GENERIC 错误是否出现在系统登录 eventvwr.exe
电子数据/电子文本字段似乎是特定于实现的 - 获取翻译的最佳选择是从事件日志中获取确切信息。