【发布时间】:2018-07-06 05:22:37
【问题描述】:
我有一个 java 服务器和客户端应用程序。这些应用程序在 Windows 机器上运行。客户端使用 kerberos 身份验证登录服务器。它是使用 jgssapi 实现的。
首先,客户端从系统中检索存储的缓存 tgt 票证以从 kdc 生成令牌。 问题是 - 在 Windows 中锁定用户会话(锁定屏幕或更改用户)后,系统中没有缓存的 tgt 票证(由 C:\Windows\System32\klist.exe 检查)。 据我了解,我可以通过在计算机上注销/登录用户来获取它们。
这个问题发生在我的客户机器上。锁定后有空的缓存票列表。
我的办公室没有复制它(Windows 7 的客户端,win server 2008 上的活动目录服务器)。锁定后,我总是在机器上有新的 REGENERATED 缓存 tgt 票(不是锁定前的工作,而是解锁后再次生成)。没有为此行为设置特殊的 GPO(关于使用来自先前用户会话 Kerboros cached ticket deleted after using Windows lock screen 的缓存票证的问题)。
所以我不明白为什么系统在解锁后不重新生成缓存的tgt?怎么办?
我在这里找到了类似的问题https://social.technet.microsoft.com/Forums/ie/en-US/be5ebc3b-d915-4acb-a9ae-67c61ee03b97/service-tickets-kerberos-purged-on-ctrlaltdel?forum=winserverDS&prof=required 答案之一是 “首先看看你用 klist 有什么,然后锁定和解锁你的屏幕。如果你有连接到 DC,你将获得本地主机和 KDC 和 TGT 的服务票,如果你没有连接你将一无所有。”
与 AD 的连接成功。我可以ping通。我可以使用 AD-explorer 获取信息连接。还是与DC的连接不一样?
谢谢。
【问题讨论】:
标签: java windows active-directory kerberos jgss