如何配置javawaffle sspikerberos单点登录(sso)客户端应该使用哪些加密密码?
如何最好地调试客户端和服务器实际使用的密码?
背景
我们需要限制用于kerberos sso的加密密码,删除现在认为较弱的密码。
我们的设置
java应用服务器通过纯javagssapi实现sso。
java客户端通过两个可配置的sso API实现sso:
在linux或windows 10上,没有激活凭证保护:通过纯java gssapi。
在激活凭证保护的windows 10上:通过java华夫饼+microsoft sspi api。
kerberos“后端”是windows活动目录。
我们已经知道的
在纯javagssapi实现(服务器和客户机)上,我们可以设置system属性 java.security.krb5.conf
要配置krb5.conf文件,我们可以在其中显式配置加密类型,例如。
[libdefaults]
default_tkt_enctypes = aes256-cts
default_tgs_enctypes = aes256-cts
permitted_enctypes = aes256-cts
https://docs.oracle.com/javase/8/docs/technotes/guides/security/jgss/lab/part4.html
使用gssapi,我们可以通过system属性获得调试信息 sun.security.krb5.debug=true
但是,在wafflesspi客户机上,两个系统属性都没有任何影响。回想起来这并不奇怪,因为sspi没有调用java运行时kerberos代码。
我的猜测是sspi从windows操作系统获取允许的加密类型,而我们可能无法从java应用程序配置这些类型。
waffle网站建议使用以下链接进行kerberos调试:
https://support.microsoft.com/en-us/help/262177/how-to-enable-kerberos-event-logging
暂无答案!
目前还没有任何答案,快来回答吧!