ไม่สามารถตรวจสอบสิทธิ์กับไคลเอนต์ apache http 4.5 โดยใช้แคชตั๋ว kerberos

ฉันกำลังดำเนินการคำขอ https ไปยังบริการ REST ที่ได้รับการรับรองความถูกต้องของ Kerberos ทุกอย่างเรียบร้อยดีถ้าฉันใช้แท็บปุ่มกด อย่างไรก็ตาม ฉันมีข้อกำหนดว่าฉันควรใช้ไฟล์แคชตั๋ว Kerberos ซึ่งสร้างขึ้นเมื่อมีการเข้าสู่ระบบเวิร์กสเตชันโดยใช้รหัสผ่าน

ฉันจะแทนที่โดเมนด้วย MY_DOMAINE.COM

ดังนั้น klist จะแสดง:

Ticket cache: FILE:/tmp/krb5cc_210007
Default principal: dragomira@MY_DOMAINE.COM

Valid starting     Expires            Service principal
05/15/18 07:21:51  05/15/18 17:21:51  krbtgt/MY_DOMAINE.COM@MY_DOMAINE.COM
        renew until 05/22/18 06:18:22

การใช้ curl แบบนี้ก็ใช้ได้:

curl -k --negotiate -u :  'my_url' -v

ตอนนี้เรากลับมาที่โค้ดกันดีกว่า Login.conf ของฉันเป็นเช่นนี้:

com.sun.security.jgss.login {
  com.sun.security.auth.module.Krb5LoginModule required
  client=TRUE
  doNotPrompt=true
  useTicketCache=true;
};

com.sun.security.jgss.initiate {
  com.sun.security.auth.module.Krb5LoginModule required
  client=TRUE
  doNotPrompt=true
  useTicketCache=true;
};

com.sun.security.jgss.accept {
  com.sun.security.auth.module.Krb5LoginModule required
  client=TRUE
  doNotPrompt=true
  useTicketCache=true;
};

รหัสจาวาที่เกี่ยวข้องสำหรับไคลเอนต์ http ของฉันซึ่งมีไว้สำหรับ kerberos คือ:

try {
    SSLContext sslContext = new SSLContextBuilder().loadTrustMaterial(null, (chain, authType) -> true).build();
    HostnameVerifier hostnameVerifier = new NoopHostnameVerifier();
    Registry<AuthSchemeProvider> authSchemeRegistry = RegistryBuilder.<AuthSchemeProvider>create()
            .register(AuthSchemes.SPNEGO, new SPNegoSchemeFactory())
            .build();
    Credentials dummyCredentials = new NullCredentials();
    CredentialsProvider credProv = new BasicCredentialsProvider();
    credProv.setCredentials(new AuthScope(null, -1, null), dummyCredentials);
    this.httpClient = HttpClientBuilder.create()
            .setDefaultAuthSchemeRegistry(authSchemeRegistry)
            .setDefaultCredentialsProvider(credProv)
            .setSSLContext(sslContext)
            .setSSLHostnameVerifier(hostnameVerifier)
            .build();
} catch (NoSuchAlgorithmException | KeyStoreException | KeyManagementException e) {
    throw new RuntimeException(e.getMessage(), e);
}

ก่อนหน้านี้ ฉันกำลังตั้งค่าคุณสมบัติ Java เหล่านี้:

java.security.auth.login.config=/home/dragomira/kerberos/login.conf
java.security.krb5.conf=/etc/krb5.conf
sun.security.krb5.debug=true
javax.security.auth.useSubjectCredsOnly=false

ผลลัพธ์ของบันทึก Kerberos คือ:

โหลดจากการกำหนดค่า Java

>>>KinitOptions cache name is /tmp/krb5cc_210007
>>>DEBUG <CCacheInputStream>  client principal is dragomira@MY_DOMANIN.COM
>>>DEBUG <CCacheInputStream> server principal is krbtgt/MY_DOMANIN.COM@MY_DOMANIN.COM
>>>DEBUG <CCacheInputStream> key type: 18
>>>DEBUG <CCacheInputStream> auth time: Tue May 15 06:18:22 EDT 2018
>>>DEBUG <CCacheInputStream> start time: Tue May 15 07:21:51 EDT 2018
>>>DEBUG <CCacheInputStream> end time: Tue May 15 17:21:51 EDT 2018
>>>DEBUG <CCacheInputStream> renew_till time: Tue May 22 06:18:22 EDT 2018
>>> CCacheInputStream: readFlags()  FORWARDABLE; RENEWABLE; INITIAL; PRE_AUTH;
>>>DEBUG <CCacheInputStream>  client principal is dragomira@MY_DOMANIN.COM
>>>DEBUG <CCacheInputStream> server principal is HTTP/configuration.prd.int.MY_DOMANIN.COM@MY_DOMANIN.COM
>>>DEBUG <CCacheInputStream> key type: 23
>>>DEBUG <CCacheInputStream> auth time: Tue May 15 06:18:22 EDT 2018
>>>DEBUG <CCacheInputStream> start time: Tue May 15 07:57:49 EDT 2018
>>>DEBUG <CCacheInputStream> end time: Tue May 15 17:21:51 EDT 2018
>>>DEBUG <CCacheInputStream> renew_till time: Tue May 22 06:18:22 EDT 2018
>>> CCacheInputStream: readFlags()  FORWARDABLE; RENEWABLE; PRE_AUTH;
>>> unsupported key type found the default TGT: 18

สำหรับฉันแล้วดูเหมือนว่าตั๋วถูกอ่านแล้วแต่ไม่มีการดึงข้อมูลประจำตัวออกมาเนื่องจากฉันได้รับในตอนท้าย 401

ฉันต้องทำอะไรบางอย่างเป็นพิเศษกับ apache http client 4.5 เพื่อใช้ตั๋วหรือไม่

ขอแสดงความนับถือ