WebSphere SPNEGO - 无法从 JAAS 主题获取主体的凭证

WebSphere SPNEGO - 无法从 JAAS 主题获取主体的凭证

问题

尝试在 WebSphere 应用程序服务器 (WAS ND,单节点) 9.0.0.7 上启用 SPNEGO 时出现错误。我在另一台服务器上成功了,但对于这台服务器,我找不到问题所在。

我收到以下错误消息:

org.ietf.jgss.GSSException, major code: 13, minor code: 0 major string: Invalid credentials minor string: Cannot get credential from JAAS Subject for principal: HTTP/[email protected]

从跟踪文件中可以看到:

javax.security.auth.login.FailedLoginException: Cannot retrieve key from keytab HTTP/[email protected]

配置

  1. 在域控制器上:setspn -A HTTP/server.aa.bbb.ccc AD-ACCOUNT-1
  2. ktpass -out AD-ACCOUNT-1.keytab -princ HTTP/[email protected] -mapuser AD-ACCOUNT-1 -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL /pass <PASSWORD>
  3. 已成功使用用户 配置 WAS 的 LDAP 连接AD-ACCOUNT-1
  4. Keytab 存储为/app/sysx/WebSphere/AppServer/AD-ACCOUNT-1.keytab
  5. $AdminTask createKrbConfigFile {-krbPath /app/sysx/WebSphere/AppServer/profiles/InfoSphere/krb5.conf -realm DDDDDDD.BBB.CCC -kdcHost ddddddd.bbb.ccc -dns ddddddd.bbb.ccc -keytabPath /app/sysx/WebSphere/AppServer/AD-ACCOUNT-1.keytab -encryption aes256-cts-hmac-sha1-96}
  6. WAS Admin Web 控制台:全局安全 > SPNEGO Web 身份验证
    1. Kerberos 配置文件:/app/sysx/WebSphere/AppServer/profiles/InfoSphere/krb5.conf
    2. 密钥表:/app/sysx/WebSphere/AppServer/AD-ACCOUNT-1.keytab
    3. SPNEGO 过滤器:主机名:server.aa.bbb.cccKerberos 领域名称:DDDDDDD.BBB.CCC过滤条件:request-url^=ibm/iis/igc/services|ibm/iis/igc/secure|ibm/iis/igc-rest;request-url!=noSPNEGO修剪:Checked

我尝试根据/etc/hosts在网上找到的类似案例添加所有别名,但没有帮助。

答案1

相关内容