我正在尝试使用 Kerberos 进行身份验证 (authentication="GSSAPI") 运行 tomcat JNDIRealm。
但是,我得到了这个:
严重:Catalina.start: LifecycleException:打开目录服务器连接异常: javax.naming.AuthenticationException:GSSAPI [根异常是 javax.security.sasl.SaslException: GSS 启动失败 [由 GSSException 引起:未提供有效凭据 (机制级别:尝试获取新的 INITIATE 凭据失败!(null)) ]]我在 server.xml 中有这个:
知道我在这里缺少什么吗?
【问题讨论】:
该错误表明 Kerberos 未正确设置。
您需要使用 -D 或 System.setProperty() 设置以下 JVM 参数,
java.security.krb5.realm : Default realm, like EXAMPLE.COM
java.security.krb5.kdc : KDC hostname, like ad.example.com
【讨论】:
并得到这个:javax.security.auth.login.LoginException: javax.naming.NamingException: [LDAP: error code 1 - 00000000 :Lda,注释:为了执行此操作,必须在连接上完成成功的绑定。数据名称'ou=LIMUsers,dc=lim,dc=com'
乔尔:
除了定义领域/KDC 的初始问题外,错误消息中还描述了您收到的 NamingException --- 您的 LDAP 服务器“blah.xxx.com”不允许匿名绑定,并且tomcat 正在尝试在没有绑定的情况下运行搜索。
如果您希望使用用户的凭据搜索 LDAP,那么问题在于它没有将凭据转发到 LDAP。我还不熟悉这些东西在 Java 中是如何工作的,但有几个可能的原因:
如果您尝试使用 connectionName DN 作为 bindDN 进行搜索,请检查 LDAP 服务器上的故障——即“无效凭据”(用户/密码不正确)或 ACL 问题。
【讨论】:
你需要通过系统属性来传递:
【讨论】: