我正在使用Active Directory客户端和服务上的GSS API尝试示例凭据委派程序。在使用context.requestCredDeleg(true)时,当我检查context.getCredDelegState()时,它会在上下文建立之前在客户端返回true。但是在上下文建立之后,当我检查中间服务器端的凭证委托状态时,它返回false。
我已为用户设置了“信任此用户以便委派任何服务(仅限Kerberos)”。 此外,“帐户敏感且无法委派”字段在Active Directory管理中心用户属性中未选中。同样已应用于服务用户属性。我在同一台计算机上运行客户端和服务器,这是kerberos域的一部分,对于该计算机属性,也允许在Active Directory管理中心中委派。
我使用以下作为参考: 客户端 - 服务器程序源:http://docs.oracle.com/javase/1.4.2/docs/guide/security/jgss/tutorials/BasicClientServer.html
凭证授权文档:http://docs.oracle.com/javase/1.4.2/docs/guide/security/jgss/tutorials/MoreToDo.html#DelCr
示例客户端 - 服务器工作正常,只是我无法进行凭证委派。
答案 0 :(得分:2)
我找到了解决方案(希望它能帮助遇到同样问题的人):
在krb5.ini文件中,应在[libdefaults]中设置forwardable = true 部分而不是[appdefaults]。