如何手动测试 tomcat SSO 的 kerberos SPI

Question

我正在尝试调试在 Centos5.5 上的 tomcat6 上运行的 spring-security-kerberos Web 应用程序 并在我在 Windows 2008 AD 上生成的密钥表中有一个服务主体。我想在 tomcat 之外测试密钥以帮助隔离问题（Spring 不会对密钥进行细化）

我可以使用 ktutil 程序列出密钥并在表中查看主体，但无法验证它确实有效。

Answer 1

我翻阅旧问题时偶然发现了这个问题。所以您已经使用 kutil 列出了密钥。要验证 Kerberos 密钥表文件中的主体是否确实有效，您可以运行以下命令：kinit -k -t。

例如，如果您的 SPN 为 HTTP/somehost.mydomain.com 且密钥表文件名为 myfilename.keytab，则您的命令将为：

kinit -k -t myfilename.keytab HTTP/somehost.mydomain.com

这是完全在 Tomcat 之外进行的简单 Kerberos 测试（满足您的要求），并验证您的 DNS、AD、krb5.conf 和 keytab（包括内部原理）是否全部设置正确。