Help

Erreur avec authentification Kerberos: Encryption type AES25

cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
slebreton
Customer
‎27 Oct 2012 0:30 PM

Erreur avec authentification Kerberos: Encryption type AES25

Bonjour,

je suis encours de test de la version alfresco 4.2a sous REDHAT RHEL6.3. Je souhaite mettre en place une authentification Kerberos qui s'appuie sur ipa sous REDHAT RHEL6.3 .

Mon architecture de test se compose:

- 1 serveur REDHAT RHEL 6.3 que j'appel "ipa1" qui est mon serveur ipa primaire
- 1 serveur REDHAT RHEL 6.3 que j'appel "alfresco" qui héberge la version 4.2a d'alfresco
- 1 poste client sous Windows XP qui s'authentifie sur le domaine Kerberos AC.FR du serveur ipa1

A l'aide du wiki et des infos trouvé sur la toile, j'ai configuré mon alfresco pour Kerberos. Lors de l'authentification j'ai l'erreur suibant dans alfresco.log ou share.log


12:38:33,471 DEBUG [org.alfresco.web.app.servlet.KerberosAuthenticationFilter] New Kerberos auth request from 10.211.55.9 (10.211.55.9:1167)
12:38:33,473 ERROR [org.alfresco.fileserver] Error from JLAN
GSSException: Failure unspecified at GSS-API level (Mechanism level: Encryption type AES256 CTS mode with HMAC SHA1-96 is not supported/enabled)

Si l'un de vous a une piste à me suggérer elle sera bienvenue …

Merci

Stéphane


NB: Mes différents fichiers de configuration sont:

krb5.conf du serveur alfresco

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = AC.FR
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true

[realms]
 AC.FR = {
  kdc = ipa1.ac.fr
  admin_server = ipa1.ac.fr
 }

[domain_realm]
 .ac.fr = AC.FR
 ac.fr = AC.FR

kerberos-filter.properties

kerberos.authentication.http.configEntryName=AlfrescoHTTP
kerberos.authentication.http.password=mot_de_passe
kerberos.authentication.sso.enabled=true
kerberos.authentication.browser.ticketLogons=true

kerberos-authentication.properties

kerberos.authentication.realm=AC.FR
kerberos.authentication.user.configEntryName=Alfresco
kerberos.authentication.defaultAdministratorUserNames=mon_login
kerberos.authentication.http.configEntryName=AlfrescoHTTP
kerberos.authentication.http.password=mot_de_passe
kerberos.authentication.cifs.configEntryName=AlfrescoCIFS
kerberos.authentication.cifs.password=mot_de_passe
kerberos.authentication.cifs.enableTicketCracking=false
kerberos.authentication.authenticateCIFS=false
kerberos.authentication.stripUsernameSuffix=true
kerberos.authentication.sso.enabled=true

alfresco-global.properties


authentication.chain=alfrescoNtlm1:alfrescoNtlm,krb:kerberos,ldap1:ldap


java.security


login.config.url.1=file:${java.home}/lib/security/java.login.config
….

java.login.config

Alfresco {
   com.sun.security.auth.module.Krb5LoginModule sufficient;
};
AlfrescoCIFS {
   com.sun.security.auth.module.Krb5LoginModule required
   storeKey=true
   useKeyTab=true
   keyTab="/etc/alfrescocifs.keytab"
   principal="cifs/alfresco.ac.fr@AC.FR";
};
AlfrescoHTTP {
   com.sun.security.auth.module.Krb5LoginModule required
   storeKey=true
   useKeyTab=true
   keyTab="/etc/alfrescohttp.keytab"
   principal="HTTP/alfresco.ac.fr@AC.FR";
};
ShareHTTP {
   com.sun.security.auth.module.Krb5LoginModule required
   storeKey=true
   useKeyTab=true
   keyTab="/etc/keys/alfrescohttp.keytab"
   principal="HTTP/alfresco.ac.fr@AC.FR";
};
com.sun.net.ssl.client {
   com.sun.security.auth.module.Krb5LoginModule sufficient;
};
other {
   com.sun.security.auth.module.Krb5LoginModule sufficient;
};

Labels
0 Kudos
Reply
6 Replies
slebreton
Customer
‎29 Oct 2012 7:55 AM

Re: Erreur avec authentification Kerberos: Encryption type AES25

En complément à la description de mon problème:

dans /var/log/alfresco/alfreco.log je constate l'authentification Kerberos du serveur


13:57:13,379 INFO  [org.alfresco.repo.management.subsystems.ChildApplicationContextFactory] Starting 'Authentication' subsystem, ID: [Authentication, managed, krb1]
13:57:13,552 DEBUG [org.alfresco.web.app.servlet.KerberosAuthenticationFilter] HTTP Kerberos login successful
13:57:13,552 DEBUG [org.alfresco.web.app.servlet.KerberosAuthenticationFilter] Logged on using principal HTTP/alfresco.ac.fr@AC.FR
13:57:14,476 DEBUG [org.alfresco.repo.webdav.auth.KerberosAuthenticationFilter] HTTP Kerberos login successful
13:57:14,476 DEBUG [org.alfresco.repo.webdav.auth.KerberosAuthenticationFilter] Logged on using principal HTTP/alfresco.ac.fr@AC.FR
13:57:14,503 INFO  [org.alfresco.repo.management.subsystems.ChildApplicationContextFactory] Startup of 'Authentication' subsystem, ID: [Authentication, managed, krb1] complete
13:57:14,503 INFO  [org.alfresco.repo.management.subsystems.ChildApplicationContextFactory] Starting 'Authentication' subsystem, ID: [Authentication, managed, ldap1]
13:57:14,582 INFO  [org.alfresco.repo.management.subsystems.ChildApplicationContextFactory] Startup of 'Authentication' subsystem, ID: [Authentication, managed, ldap1] complete


a ce niveau tout semble OK.

je trouve la trace suivante lors de connexion du client dans /var/log/alfresco/alfreco.log



13:57:38,227 DEBUG [org.alfresco.web.app.servlet.KerberosAuthenticationFilter] Authentication not required (filter), chaining …


dans /var/log/alfresco/share.log je trace l'erreur suivante:



13:59:05,591 WARN  [org.alfresco.web.site.servlet.KerberosSessionSetupPrivilegedAction] Caught GSS Error
GSSException: Failure unspecified at GSS-API level (Mechanism level: Encryption type AES256 CTS mode with HMAC SHA1-96 is not supported/enabled)


Mon problème semble se situer au niveau du client,pour le moment je cherche autour du réglage du fichier krb5.conf du client ( pour le moment sans succès) …

je reste à l'écoute de vos suggestions.

Merci.

Stéphane
0 Kudos
Reply
rguinot
Customer
‎30 Oct 2012 8:26 AM

Re: Erreur avec authentification Kerberos: Encryption type AES25 

GSSException: Failure unspecified at GSS-API level (Mechanism level: Encryption type AES256 CTS mode with HMAC SHA1-96 is not supported/enabled)

A mon avis, vous n'avez pas installé la Java Cryptography Extension (aussi appelée JCE). téléchargeable ici : http://www.oracle.com/technetwork/java/javase/downloads/index.html.

Il y a sans doute désaccord entre le niveau d'encryption à utiliser dans la config de votre KDC sur RHEL, et dans la config de la JVM. Le JCE devrait vous permettre de résoudre cela.

Laissez savoir.
0 Kudos
Reply
slebreton
Customer
‎2 Nov 2012 11:38 AM

Re: Erreur avec authentification Kerberos: Encryption type AES25

Bonjour,

merci pour votre retour.


après avoir téléchargé la Java Cryptography Extension et l'avoir installée, j'ai réussi à franchir une étape.

1) Avec un client sous OSX 10.6.8 +vTicket KERBEROS + FIrefox : l'authentification KERBEROS fonctionne correctement aussi bien avec share qu'avec alfresco.

2) Avec un client sous OSX 10.6.8 + Ticket KERBEROS + Safari : l'authentification KERBEROS fonctionne correctement avec "explorer" alfresco, mais j'ai un message avec share:
WARN  [org.alfresco.web.site.servlet.KerberosSessionSetupPrivilegedAction] credentials can not be delegated!

3) Avec un client sous Windows XP + Ticket KERBEROS + Firefox: l'authentification KERBEROS fonctionne correctement avec "explorer" alfresco, mais j'ai un message avec share:
WARN  [org.alfresco.web.site.servlet.KerberosSessionSetupPrivilegedAction] credentials can not be delegated!

si vous avez une piste à me suggérer, je suis preneur.

Merci.


Stéphane
0 Kudos
Reply
rguinot
Customer
‎2 Nov 2012 0:02 PM

Re: Erreur avec authentification Kerberos: Encryption type AES25

voir http://wiki.alfresco.com/wiki/Alfresco_Authentication_Subsystems#Client_Configuration ainsi que  https://issues.alfresco.com/jira/browse/ALF-6286 (et le premier commentaire sur ce jira), si cela peut vous aider.
0 Kudos
Reply
slebreton
Customer
‎2 Nov 2012 8:53 PM

Re: Erreur avec authentification Kerberos: Encryption type AES25

Merci pour le coup de main,

j'avais effectivement parcouru ces deux liens, j'en ai pas déduit de solutions pour mes problèmes.

je poursuis mes investigations.


Merci

Stéphane
0 Kudos
Reply
slebreton
Customer
‎4 Nov 2012 11:24 AM

Re: Erreur avec authentification Kerberos: Encryption type AES25

Bonjour,

pour poursuivre:

j'ai résolu mon souci pour Firefox sous Windows XP en complétant dans Firefox avec le réglage suivant:

network.auth.use-sspi    false


Stéphane
0 Kudos
Reply
The Archive

Content from pre 2016 and from language groups that have been closed.

Content is read-only.

We use cookies on this site to enhance your user experience

By using this site, you are agreeing to allow us to collect and use cookies as outlined in Alfresco’s Cookie Statement and Terms of Use (and you have a legitimate interest in Alfresco and our products, authorizing us to contact you in such methods).   If you are not ok with these terms, please do not use this website.