Después de la configuración de nuestro dominio a los usuarios compatibles con el cifrado AES de Kerberos (tokens de Windows Server 2008R2), en una aplicación de internet el lado del servidor, tendremos la siguiente excepción:

GSSException: Error no especificado en la GSS-API level (Mecanismo de nivel:
Tipo de cifrado AES256CTS modo con HMAC-SHA1-96 no es
activado)

Extrañamente hemos Java 6 (1.6.0_27) , lo que significa que las AES deben ser compatibles, de acuerdo a este documento: http://docs.oracle.com/javase/6/docs/technotes/guides/security/jgss/jgss-features.html

Alguna idea de lo que falta en nuestras aplicaciones web o Java, o de terceros? Estamos utilizando la Primavera de seguridad de Kerberos extensión (con un mínimo de modificaciones del código para que se ajuste a nuestro actual de la Primavera 2.x versión y requisitos de autenticación adicionales).

Java Cryptography Extension (JCE) para un número Ilimitado de Fuerza ahora está habilitado por defecto en Java 8u161. oracle.com/technetwork/java/javase/…

OriginalEl autor Arturs Licis | 2012-10-18

1 Comentario

  1. 14

    EDITAR (2017-05-06): próximas versiones JDK tendrá esta incluido. Sólo una configuración parámetro se debe establecer, ver JDK-8157561.

    Siga este enlace – Java SE Descarga, desplácese hacia abajo y descarga el Java Cryptography Extension (JCE) Ilimitada Fuerza de la Jurisdicción de la Política de Archivos para su JDK versión y seguir el proceso en este tutorial titulado: 5.4.2. Kerberos e Ilimitado de la Fuerza Política.

    Los pasos básicos son los siguientes:

    1. localizar el JDK de seguridad del directorio (mostrando Unix a continuación):

      $ locate 'jre/lib/security' | grep 'lib/security$'
      /usr/java/jdk1.7.0_17/jre/lib/security
      /usr/lib/jvm/java-1.5.0-gcj-1.5.0.0/jre/lib/security
      /usr/lib/jvm/java-1.6.0-openjdk-1.6.0.0.x86_64/jre/lib/security
      /usr/lib/jvm/java-1.7.0-openjdk-1.7.0.9.x86_64/jre/lib/security
    2. Tomando nota de lo anterior, debemos agregar el descargado de la JCE .archivos jar de /usr/java/jdk1.7.0_17/jre/lib/security.

    3. La JCE .archivo zip incluye las siguientes (mostrando JDK 1.7 del JCE):

      $ ls -l UnlimitedJCEPolicy
      total 16
      -rw-rw-r-- 1 root root 2500 May 31  2011 local_policy.jar
      -rw-r--r-- 1 root root 7289 May 31  2011 README.txt
      -rw-rw-r-- 1 root root 2487 May 31  2011 US_export_policy.jar
    4. Estas son las versiones en paquete con el JDK (de nuevo 1.7):

      $ ls -l /usr/java/jdk1.7.0_17/jre/lib/security/*.jar
      -rw-r--r--. 1 root root 2865 Mar  1  2013 /usr/java/jdk1.7.0_17/jre/lib/security/local_policy.jar
      -rw-r--r--. 1 root root 2397 Mar  1  2013 /usr/java/jdk1.7.0_17/jre/lib/security/US_export_policy.jar
    5. Tenemos que mover estos fuera del camino, y reemplazarlos con el que se incluyen versiones de la JCE .archivo zip. Me suelen hacer lo siguiente:

      $ pushd /usr/java/jdk1.7.0_17/jre/lib/security/
      /usr/java/jdk1.7.0_17/jre/lib/security ~
      
      $ mkdir limited
      $ mv *.jar limited/
      
      $ cp ~/UnlimitedJCEPolicy/*.jar .
      $ ls -l *.jar
      -rw-r--r-- 1 root root 2500 Jun 25 12:50 local_policy.jar
      -rw-r--r-- 1 root root 2487 Jun 25 12:50 US_export_policy.jar
    6. Reiniciar nada que hacer uso de JDK (Tomcat, etc.).

    Voy a probarlo, pero para ser claro: yo pensé que se aplica a JDK/JRE 5.0, no 6. Estoy confundido aquí?
    Sí, usted se equivoca.
    Me comentó antes de descargar Ilimitado de la Fuerza de la Jurisdicción Política de los Archivos y leer el readme.txt archivo. Muchas gracias!
    Todavía no la has probado (sin acceso a la red más hoy en día), pero ya veo que debería funcionar. Cualquier posibilidad de que usted podría saber que el cifrado de Windows Server 2008 R2 utiliza por defecto cuando tanto el cifrado AES de casillas de verificación (de 128 bits y 256 bits) están desactivadas en las propiedades de Cuenta de Usuario?
    Esto no debería ser necesario, ya que de Java 8u161. oracle.com/technetwork/java/javase/…

    OriginalEl autor Michael-O

Dejar respuesta

Please enter your comment!
Please enter your name here