我对获得服务票的理解是错误的。我不需要从服务获取凭据-
在客户端上这是不可能的,因为客户端实际上没有服务器的TGT,因此没有权利获取服务凭据。这里只缺少创建一个新的GSSContext并将其初始化。如果我正确理解,则此方法的返回值包含服务票证。这是一个工作代码示例。它必须在PrivilegedAction中代表已登录的主题运行:
GSSManager manager = GSSManager.getInstance(); GSSName clientName = manager.createName("clientUser", GSSName.NT_USER_NAME); GSSCredential clientCred = manager.createCredential(clientName, 8 * 3600, createKerberosOid(), GSSCredential.INITIATE_ONLY); GSSName serverName = manager.createName("http@server", GSSName.NT_HOSTbaseD_SERVICE); GSSContext context = manager.createContext(serverName, createKerberosOid(), clientCred, GSSContext.DEFAULT_LIFETIME); context.requestMutualAuth(true); context.requestConf(false); context.requestInteg(true); byte[] outToken = context.initSecContext(new byte[0], 0, 0); System.out.println(new base64Enprer().enpre(outToken)); context.dispose();然后,outToken包含服务票证。但是,这不是使用GSS-API的方式。它的目标是将那些细节隐藏到代码中,因此最好在两侧都使用GSS-
API建立一个GSSContext。否则,由于存在潜在的安全漏洞,您真的应该知道您在做什么。有关更多信息,请比我更仔细地阅读有关使用kerberos的Sun
SSO教程。
编辑:只是忘记了我正在使用Windows XP SP2。此版本的Windows中有一个新的“功能”,不允许在Windows
RAM中使用TGT。您必须编辑注册表以允许这样做。有关更多信息,请像我一样,在遇到“
KrbException:KDC不支持加密类型(14)”的情况下,请查看“
JGSS故障排除”页面主题。
