Pertanyaan Kerberos - menemukan keytype yang tidak didukung (1)


Saya mendapatkan kesalahan setelah saya memperbarui Java dari JAVA 6 ke JAVA 7. Di java 6 semuanya berjalan baik, tapi saya harus pindah.

Found unsupported keytype (1) for my/my.com
Added key: 16version: 1
Added key: 23version: 1
Added key: 18version: 1
Ordering keys wrt default_tkt_enctypes list
Using builtin default etypes for default_tkt_enctypes
default etypes for default_tkt_enctypes: 18 17 16 23.
Found unsupported keytype (1) for my/my.com
Added key: 16version: 1
Added key: 23version: 1
Added key: 18version: 1
Ordering keys wrt default_tkt_enctypes list
Using builtin default etypes for default_tkt_enctypes
default etypes for default_tkt_enctypes: 18 17 16 23.
Using builtin default etypes for default_tkt_enctypes
default etypes for default_tkt_enctypes: 18 17 16 23.
>>> KrbAsReq creating message
>>> KrbKdcReq send: kdc=my.com UDP:88, timeout=3, number of retries =1, #bytes=183
>>> KDCCommunication: kdc=my.com UDP:88, timeout=3,Attempt =1, #bytes=183
Exception in thread "main" java.io.IOException: Login failure for my/my.com from keytab /etc/hbase/conf/hdfs.keytab   

5
2018-05-26 10:03


asal


Jawaban:


Empat baris pertama di log, yang Anda lampirkan menunjukkan entri apa yang ada di keytab Anda. Ada empat entri - baris pertama menunjukkan bahwa ada kunci kode 1 (dan kita dapat mencari di tabel IANA apa arti kode ini untuk: http://www.iana.org/assignments/kerberos-parameters/kerberos-parameters.xml. etype 1 adalah des-cbc-crc).

Sekarang di baris fith, ada info "Menggunakan etip bawaan bawaan ..", seperti Anda belum mengkonfigurasi file krb5.ini Anda? (pada Windows biasanya di C: \ windows \ krb5.ini. Deskripsi lengkap tempat file ini bisa: http://docs.oracle.com/javase/7/docs/technotes/guides/security/jgss/tutorials/KerberosReq.html). Kita dapat melihat default enctypes: 18, 17 (aes), 16 (des) dan 23 (rc4-hmac). 1 tidak ada dalam daftar ini, itu sebabnya entri untuk varian DES yang sangat lama ini tidak dimuat dari keytab, dengan kesalahan: Ditemukan keytype yang tidak didukung (1) untuk my / my.com.

Anda perlu membuat file krb5.ini. Seharusnya terlihat sedikit seperti ini (HARUS disesuaikan dengan pengaturan organisasi Anda):

[libdefaults]
  forwardable = true
  dns_lookup_kdc = true
  dns_lookup_realm = true
  default_realm = YOUR.COMPANY

  default_tkt_enctypes = rc4-hmac aes256-cts aes128-cts des3-cbc-sha1 des-cbc-md5 des-cbc-crc
  default_tgs_enctypes = rc4-hmac aes256-cts aes128-cts des3-cbc-sha1 des-cbc-md5 des-cbc-crc
  permitted_enctypes   = rc4-hmac aes256-cts aes128-cts des3-cbc-sha1 des-cbc-md5 des-cbc-crc

[realms]
  YOUR.COMPANY = {
     kdc = your.company
  }

[domain_realm]
  .your.company = YOUR.COMPANY
  your.company  = YOUR.COMPANY

6
2018-05-27 07:31



Di Cloudera, Anda harus memeriksa jenis-jenis ekripsi di CM -> Administrasi -> Keamanan -> Kerberos -> konfigurasi Kerberos. jenis enkripsi sama dengan Kerberos Mit KDC di /etc/krb5.conf Pertama-tama, hentikan semua layanan dan manajemen layanan juga. kemudian memindahkan semua keytab.


0
2018-04-13 11:42