Назад | Перейти на главную страницу

Продление срока действия Websphere Application Server и Kerberos Keytab

В настоящее время у меня возникла проблема с истечением срока действия билета Kerberos с клавиатуры на WAS 8.5.5.5. Тот же самый процесс работает правильно на Tomcat 8, и я считаю, что основное отличие заключается в конфигурациях клиентов JDK / JAAS. Я использую обе конфигурации как обычные (без конфигураций сервера, кроме размеров памяти / кучи).

Вот пример из файла журнала при запуске в Websphere -

2015-12-01 19:49:42,393 WARN [UserGroupInformation] PriviledgedActionException as:principal/fqdn@place (auth:KERBEROS) cause:javax.security.sasl.SaslException: Failure to initialize security context [Caused by org.ietf.jgss.GSSException, major code: 8, minor code: 0
    major string: Credential expired
    minor string: Kerberos credential has expired]

Существуют ли какие-либо пользовательские конфигурации JAAS, которые я использую в самом WAS без необходимости писать код для обхода IBM JDK, который ведет себя иначе? Я вижу попытку повторного входа в систему, но, похоже, не обрабатывает истечение срока (как в Oracle JDK).

2015-12-01 20:06:30,718 INFO [UserGroupInformation] Initiating logout for principal/fqdn@place
2015-12-01 20:06:30,718 DEBUG [UserGroupInformation] hadoop logout
2015-12-01 20:06:30,718 INFO [UserGroupInformation] Initiating re-login for artimapp/qa01-ost-tesla-h-ds02.td.local
2015-12-01 20:06:30,731 DEBUG [UserGroupInformation] hadoop login
2015-12-01 20:06:30,731 DEBUG [UserGroupInformation] hadoop login commit
2015-12-01 20:06:30,731 DEBUG [UserGroupInformation] using existing subject:[principal/fqdn@place, principal/fqdn@place]

Любая помощь по этому вопросу будет принята с благодарностью.

Я наткнулся на эту ссылку - https://issues.apache.org/jira/browse/HADOOP-9969 .

Я также наткнулся на аналогичный билет в Spring Security, в котором для IBM был написан специальный клиент Kerberos для зеркалирования SunJaasKerberosTicketValidator - https://jira.spring.io/browse/SES-15 .

Я предпочитаю избегать ожидания решения Hadoop JIRA и необходимости писать собственные клиенты только для того, чтобы Websphere работала должным образом.