此处将为大家介绍关于如何通过GSS-API获取kerberos服务票证？的详细内容，此外，我们还将为您介绍关于active-directory–将新服务器添加到服务器管理器,获取Kerberos错误0

此处将为大家介绍关于如何通过GSS-API获取kerberos服务票证？的详细内容，此外，我们还将为您介绍关于active-directory – 将新服务器添加到服务器管理器,获取Kerberos错误0x80090322、ambari集群Kerberos服务异常、Android：如何通过Google登录API获取刷新令牌？、Apache Kerby —— Kerberos 协议和 KDC 实现的有用信息。

• 如何通过GSS-API获取kerberos服务票证？
• active-directory – 将新服务器添加到服务器管理器,获取Kerberos错误0x80090322
• ambari集群Kerberos服务异常
• Android：如何通过Google登录API获取刷新令牌？
• Apache Kerby —— Kerberos 协议和 KDC 实现

如何通过GSS-API获取kerberos服务票证？

有谁知道如何使用Java GSS-API从密钥分发中心（KDC）获取服务票证？

我有一个胖客户端应用程序，该应用程序首先使用Krb5LoginModule通过JAAS进行身份验证以从票证缓存中获取TGT（背景：Windows例如使用kerberos实现，并将票证授予票证存储在安全的存储区域中）。从LoginManager中，我获得包含TGT的Subject对象。现在，我希望当我为我的服务创建一个特定的GSSCredential对象时，该服务票证也将被放入主题的专用凭据中（我在网络上的某个地方已经读过）。因此，我尝试了以下方法：

// Exception handling ommittedLoginContext lc = new LoginContext("HelloEjbClient", new DialogCallbackHandler());lc.login()Subject.doAs(lc.getSubject(), new PrivilegedAction() {    public Object run() {        GSSManager manager = GSSManager.getInstance();        GSSName clientName = manager.createName("clientUser", GSSName.NT_USER_NAME);        GSSCredential clientCreds = manager.createCredential(clientName, 8 * 3600, createKerberosOid(), GSSCredential.INITIATE_ONLY);        GSSName serverName = manager.createName("myService@localhost", GSSName.NT_HOSTBASED_SERVICE);        manager.createCredential(serverName, GSSCredential.INDEFINITE_LIFETIME, createKerberosOid(), GSSCredential.INITIATE_ONLY);        return null;    }    private Oid createKerberosOid() {        return new Oid("1.2.840.113554.1.2.2");    }});

不幸的是，我得到了GSSException：没有提供有效的凭据（机制级别：找不到任何Kerberos tgt）。

答案1

我对获得服务票的理解是错误的。我不需要从服务获取凭据-
在客户端上这是不可能的，因为客户端实际上没有服务器的TGT，因此没有权利获取服务凭据。这里只缺少创建一个新的GSSContext并将其初始化。如果我正确理解，则此方法的返回值包含服务票证。这是一个工作代码示例。它必须在PrivilegedAction中代表已登录的主题运行：

    GSSManager manager = GSSManager.getInstance();    GSSName clientName = manager.createName("clientUser", GSSName.NT_USER_NAME);    GSSCredential clientCred = manager.createCredential(clientName,                                                        8 * 3600,                                                        createKerberosOid(),                                                        GSSCredential.INITIATE_ONLY);    GSSName serverName = manager.createName("http@server", GSSName.NT_HOSTBASED_SERVICE);    GSSContext context = manager.createContext(serverName,                                               createKerberosOid(),                                               clientCred,                                               GSSContext.DEFAULT_LIFETIME);    context.requestMutualAuth(true);    context.requestConf(false);    context.requestInteg(true);    byte[] outToken = context.initSecContext(new byte[0], 0, 0);    System.out.println(new BASE64Encoder().encode(outToken));    context.dispose();

然后，outToken包含服务票证。但是，这不是使用GSS-API的方式。它的目标是将那些细节隐藏到代码中，因此最好在两侧都使用GSS-
API建立一个GSSContext。否则，由于存在潜在的安全漏洞，您真的应该知道您在做什么。有关更多信息，请比我更仔细地阅读有关使用kerberos的Sun
SSO教程。

编辑：只是忘记了我正在使用Windows XP SP2。此版本的Windows中有一个新的“功能”，不允许在Windows
RAM中使用TGT。您必须编辑注册表以允许这样做。有关更多信息，请像我一样，在遇到“
KrbException：KDC不支持加密类型（14）”的情况下，请查看“
JGSS故障排除”页面主题。

active-directory – 将新服务器添加到服务器管理器,获取Kerberos错误0x80090322

$s = New-PSSession -ComputerName srv003 -Authentication Kerberos
$s | Enter-PSSession

ambari集群Kerberos服务异常

异常现象

组件列表里面没有kerberos组件，安全认证页面显示已经开启了Kerberos服务。主机组件列表里面也没有Kerberos-client组件。kdc服务正常。怀疑有人禁用Kerberos服务失败了，但是没有查到日志记录。

问题排查

ambari.cluster表：

	ambari根据clusters表中security_type的状态（KERBEROS/NONE）显示是否开启Kerberos服务了
	如果为NONE：则下面的页面会显示：启用Kerberos安全
	如果为KERBERO：则显示如下：

ambari.clusterservices表：

集群如果开启Kerberos认证，则clusterservices表中会有上图所示的一条记录，否则没有关于Kerberos的记录。
修复：
	查看出问题的集群，发现此表中没有关于Kerberos的记录，因此插入一条记录：
	insert into clusterservices (service_name,cluster_id,service_enabled) values (''KERBEROS'',2,0);
	其中cluster_id和service_enabled的值和正常服务的值保持一致即可。

ambari.servicedesiredstate表：

集群如果开启Kerberos认证，则servicedesiredstate表中会有上图所示的一条记录，否则没有关于Kerberos的记录；
同样，出问题的集群也没有关于Kerberos的记录，因此插入一条数据：
	insert into servicedesiredstate 
	(cluster_id
	,desired_host_role_mapping
	,desired_repo_version_id
	,desired_state
	,service_name
	,maintenance_state
	,credential_store_enabled) 
	values
	(2,0,1,''STARTED'',''KERBEROS'',''OFF'',0);
表中cluster_id，desired_host_role_mapping，desired_repo_version_id，maintenance_state
	和credential_store_enabled的值和其他服务对应字段的值保持一致即可。

ambari.servicecomponentdesiredstate表：

集群如果开启Kerberos认证，则servicecomponentdesiredstate表中会有上图所示的一条记录，否则没有关于Kerberos的记录
同样，出问题的集群也没有关于Kerberos的记录，因此插入一条数据：
	insert into servicecomponentdesiredstate
	 (id
	 ,component_name
	 ,cluster_id
	 ,desired_repo_version_id
	 ,desired_state
	 ,service_name
	 ,recovery_enabled
	 ,repo_state) 
	 values (260,''KERBEROS_CLIENT'',2,1,''INSTALLED'',''KERBEROS'',0,''NOT_REQUIRED'');
	表中id值保持原表中递增的关系，cluster_id，desired_repo_version_id，recovery_enabled和repo_state的值
	和其他服务对应字段的值保持一致即可。

ambari.hostcomponentdesiredstate表：

集群如果开启Kerberos认证，则hostcomponentdesiredstate表中会有上图所示的记录，否则没有关于Kerberos的记录。
同样，出问题的集群也没有关于Kerberos的记录，因此需要插入数据：
	insert into hostcomponentdesiredstate 
	(id
	,cluster_id
	,component_name
	,desired_state
	,host_id
	,service_name
	,maintenance_state
	,restart_required) 
	values 
	(305,2,''KERBEROS_CLIENT'',''INSTALLED'',2,''KERBEROS'',''OFF'',0);
其中id值保持原表中递增的关系，cluster_id，restart_required和其他服务对应字段的值保持一致即可。
注意：host_id是集群中需要安装kerberos_client组件host的id号，host_id和主机的对应关系保存再hosts表中，
集群有多少节点安装KERBEROS_CLIENT就需要插入多少条数据。

ambari.hostcomponentstate表：

集群如果开启Kerberos认证，则hostcomponentstate表中会有上图所示的记录，否则没有关于Kerberos的记录。
同样，出问题的集群也没有关于Kerberos的记录，因此需要插入数据：
	insert into hostcomponentstate
	 (id
	 ,cluster_id
	 ,component_name
	 ,current_state
	 ,last_live_state
	 ,host_id
	 ,service_name) 
	 values 
	 (305,2,''KERBEROS_CLIENT'',''INSTALLED'',''INSTALLED'',2,''KERBEROS'');
	 其中id值保持原表中递增的关系，cluster_id和其他服务对应字段的值保持一致即可。
注意：集群有多少节点安装KERBEROS_CLIENT就需要插入多少条数据。此表中id和host_id号需要和hostcomponentstate表中保持一致。
host_id和主机的对应关系保存再hosts表中，如下图所示：

注意

1.clusters
2.clusterservices
3.servicedesiredstate
4.servicecomponentdesiredstate
5.hostcomponentdesiredstate
6.hostcomponentstate
表之间有外键，操作的时候根据提示先操作外键依赖的表

Android：如何通过Google登录API获取刷新令牌？

目前,我正在开发用户可以使用Google登录的应用程序.作为登录过程的一部分,我们需要将Google ACCESS TOKEN和REFRESH TOKEN发送到服务器端.

我通过以下方法检索访问令牌,

        mAccountName = googleSignInAccount.getEmail();
        String scopes = "oauth2:profile email";
        String token = null;
        try {
            token = GoogleAuthUtil.getToken(activity.getApplicationContext(), mAccountName, scopes);
        } catch (IOException e) {
            Logger.eLog(TAG, e.getMessage());
        }

我正在访问访问令牌的GoogleAuthUtil类没有刷新令牌的功能.那么如何访问Refresh Token呢？提前致谢！

解决方法:

您应该使用server auth code flow via Auth.GOOGLE_SIGN_IN_API：在Android客户端上获取服务器授权代码,发送到您的服务器,服务器交换代码以进行刷新和访问令牌(带有秘密).此blog post还有更多细节.

此外,如果您现在使用GoogleAuthUtil.getToken作为访问令牌,您需要查看此Google Sign-In best practice blog post以了解如何迁移到建议的流程以确保安全性和最佳用户体验.

Apache Kerby —— Kerberos 协议和 KDC 实现

Apache Kerby™ 是 Java Kerberos 绑定，提供了一个丰富，直观和可互操作的实现，库，KDC，各种集成了 PKI，OTP 和令盘（OAuth2）的基础设施。Apache Kerby 提供了现代化环境（云，Hadoop 和移动端）需要的功能。

关于如何通过GSS-API获取kerberos服务票证？的介绍已经告一段落，感谢您的耐心阅读，如果想了解更多关于active-directory – 将新服务器添加到服务器管理器,获取Kerberos错误0x80090322、ambari集群Kerberos服务异常、Android：如何通过Google登录API获取刷新令牌？、Apache Kerby —— Kerberos 协议和 KDC 实现的相关信息，请在本站寻找。