我有一个RHEL 6.5,AD服务器authenicates,那边工作正常。 该机器还运行使用PAM模块进行身份validation的Web应用程序。 我复制login,使一个pam模块供web应用程序使用。 (rstudio-server)和login正常工作。 但是,如果用户以前没有login过,那么他们的主目录并不是由pam_oddjob_mkhomedir创build的,如果我是该用户,那么将立即创build主目录。 我已经设置了selinux宽容,直到我得到这个sorting,我正在尝试pam_mkhomedir.so和pam_oddjob_mkhomedir.so(这两个都到位,oddjob服务正在运行) 没有概率,我想..它不是开始一个会话,它只是从PAM自动化,所以我尝试把线路调用mkhomedir到auth,但它不工作。 用pamtestertesting: # pamtester rstudio 00064742 "authenticate" Password: pamtester: successfully authenticated # pamtester rstudio 00064742 "open_session" Creating home directory for 00064742. pamtester: sucessfully opened a session 正如你所看到的,如果一个会话被打开,主目录是创build的,但不是在auth下。 这是相关的pam文件。 pam.d]# cat rstudio #%PAM-1.0 auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so auth required pam_warn.so auth include system-auth #auth optional pam_mkhomedir.so skel=/etc/skel/ […]
我不知道为什么我是唯一遇到这种情况,我认为这是Server 2012和RDS协议的一个更大的问题…使用2008年的计算机,您可以使用TSGateway通过单向信任来跨域进行身份validation服务,但是到了2012年,它在运行一个单向信任时就会中断。 我试图实现一种双向信任,就像TSGateway和RDS服务一样,除了kerberosauthentication外,其他信任都是单向信任。 一个小背景,我目前有一个单向的两个域(A和B),外部信任。 (对A的外发信任,B中的用户可以访问A中的设备) 目前,我可以login域A中的计算机,并使用GUI添加域B中的用户。 (我也可以通过CLI来完成,但在这里没有关系) 当我构build我的testing域时,我可以重新创build这个行为。 如果我使用双向信任创buildtesting域,在两个方向上的域范围validation,这种行为不会改变,虽然它确实允许我在我不想要的相反方向(duh)进行validation。 由于某些原因,我将域B更改为“select性身份validation”时,“用户和计算机”GUI将按预期停止工作。 对于Domain B计算机,我仍然可以像正常一样浏览GUI,甚至可以添加Domain A用户,但由于select性Auth设置,他们不允许login。 对于域A计算机,浏览GUI不允许select用户或组,并且高级search会显示错误消息:“以下错误阻止显示任何项目:未指定的错误” 对于域A计算机,如果我知道域B的用户名,我可以使用“net localgroup”命令添加帐户,并且一切正常,但是GUI被破坏了,这不太可能成为可用的解决scheme我们大部分的用户… 我的问题(对不起,花了这么长时间才能得到它)是为什么select性authentication改变了信任的行为,使其行为不同于单向信任,是否有一些简单的东西,我失踪? 当我从GUI中得到“未指定”错误时,域B上的DC出现错误: Kerberos服务票据被请求。 帐户信息:帐户名称:bob @ DOMAINA帐户域:DOMAINAloginGUID:{00000000-0000-0000-0000-000000000000} 服务信息:服务名称:ldap / DC.DOMAINB / DOMAINB服务ID:NULL SID networking信息:客户端地址::: ffff:192.168.18.70客户端端口:62103 其他信息:票证选项:0x40800000票据encryptiontypes:0xFFFFFFFF失败码:0xC转换服务: – 每次访问资源(如计算机或Windows服务)时都会生成此事件。 服务名称表示请求访问的资源。 通过比较每个事件中的loginGUID字段,可以将此事件与Windowslogin事件相关联。 login事件发生在被访问的机器上,这通常是与发出服务票据的域控制器不同的机器。 票据选项,encryptiontypes和失败代码在RFC 4120中定义。 我不明白为什么当我提供DomainB证书时,它使用来自DomainA的“bob”尝试使用DomainB进行身份validation… 感谢您可以提供的任何帮助,我一直在这一连串3天,没有发现任何有用的东西。
我试图用BIND 9.10启用GSS-TSIG。 在我开始描述我所做的事情之前,我想说我已经在另一个域中完成了,没有任何问题。 所以我想我错过了一些非常具体的东西。 如果有人会帮我debugging这个问题,我会很高兴的。 开始吧。 我在FreeBSD 10.0上运行BIND9 9.10.0P2_5,在启用GSSAPI_BASE选项的情况下自己编译。 我已经使用这个相同的二进制包来部署在另一个正在工作的域上。 然后我在我的named.conf文件中启用了GSS-TSIG: options { ( … ) tkey-gssapi-keytab "/etc/krb5.keytab”; ( … ) }; zone “local.example.com" { type master; file "/usr/local/etc/namedb/dynamic/local.example.com"; notify yes; check-names ignore; allow-query { clients; }; allow-transfer { intnameservers; }; # allow-update { # key "iq-rndc-key"; # domaincontrollers; # }; update-policy { grant * […]
几年来,我一直使用ADFS 2.x作为与SAML Passive Authentication配合使用的SAML IDP。 在请求上设置isPassive = true标志时,响应将包括以下StatusCode部分: <samlp:Status> <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Responder"> <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:NoPassive"/> </samlp:StatusCode> </samlp:Status> 与第二个状态代码NoPassive表明用户还没有login到ADFS。 但是,在我的新ADFS 3.0实例中,响应不包含NoPassive子态,因此无法确定响应是否为通用错误,或者是否为预期的NoPassive行为。 我想要有相同的行为。 有没有新的设置,或者我失踪的其他东西?
问题1: 我的Windows Server 2012机器上有ActiveDirectory – 它的域名是AD-DEMO.LOCAL Kerberospipe理服务器在另一个Ubuntu机器 – 它的境界KERBEROS.COM 增加了对“Active Directory域和信任”的信任。 在AD中为信任域设置的属性是, 传递和双向检查。 试图用下面的“netdom”命令validation跨域信任, “netdom信任KERBEROS.COM /d:AD-DEMO.LOCAL /validation” 并得到这个例外“命令未能成功完成” 问题2: 为了解决这个问题,search并find了这些链接( 链接1和链接2 ); 从这两个链接的信息,我试图启用validation属性添加的域。 但我没有find像我的AD域和信任窗口中的validation任何属性。 请提出我出错的地方,
我有一个有关域成员服务器上的LSA SIDcaching的问题。 最近我遇到了这个问题,当他们的名字在AD后更改了一些用户访问应用程序我支持困难,他们也有旧的用户名显示在SharePoint网站上。 经过一些谷歌search/研究,我发现下面的微软KB 946358和我原来是原因。 这篇文章有点简单,只是说 caching条目超时,然而应用程序的循环查询可能会使caching条目的最大生存期保持现有的caching条目存活 并build议通过将LsaLookupCacheMaxSizeregistry项设置为0来closures成员服务器上的此caching,从而禁用LSA本地caching。 这有些奇怪的select,因为它可能会影响性能,看起来不是一个真正的解决scheme。 谷歌search使用LsaLookupCacheMaxSize作为关键字,许多人遇到这个问题,但我没有find任何最终解释如何正确解决这个问题。 因此,我确认禁用LSA本地caching有助于 – 但它不是真实世界生产环境的选项,服务器重新启动也会清除此caching – 每当用户重命名时,重新启动应用服务器也不是很好的解决scheme。 感谢这个博客文章,我发现可行的解决方法,但仍然有兴趣解决这个问题。 因为我只在应用程序中看到了这个问题,而在testing环境中的相同应用程序没有这样的问题(重命名用户工作,旧的入口不卡在caching中),而这两个环境属于相同域,并使用相同的用户进行testing。 这很符合MS KB的措辞,一些应用程序活动可能会导致永久保存在caching中的logging,但接下来呢? 只有更多的问题… 我如何重现这一点? LsaLookupCacheExpireTime 默认值为7天 ,所以即使不是非常活跃的应用程序会在这段时间触摸它不应该引起这样的问题,对吧? 我的意思是应用程序查询后,它的成员服务器不应该再增加7天的caching项的TTL,对吧? 否则每个logging都会永远存在caching中…然后又是什么阻止成员域服务器偶尔去DC,如果findlogging不匹配的话在cache中find错误logging? 看看有关类似问题(有没有最近的post/关于它的问题)的post的时间可能是它是由一些MS修补程序,或在较新的Windows Server版本(在我的情况下,我在Windows Server上看到这个问题2008 SP1标准,testing环境有2008 SP1企业版)。 我有一个想法,我可以使用Procmon来监视LSAcachingpath,并确定什么应用程序触摸caching项太频繁,但目前还不清楚我的下一步可能是什么,因为我不明白需要什么条件才能将此logging保存在caching永远…盲目减less这种活动/改变应用程序设置似乎不是很好的解决scheme太…. 总之,我希望能够重现这一点,也就是理解什么情况会导致重命名用户在本地caching中“卡住”过时的caching条目。 如果有人能够在这里说明一下,我将不胜感激。
我必须安装几个新的服务器(2012R2)的项目,这将运行IIS和MSMQ,我需要脚本的完整安装,所以我需要能够更改IIS应用程序池的权限,例如。 我打算为此使用MSA,因为我不必在部署脚本中处理密码。 我的问题是,“部署解决scheme代理程序”作为本地系统在机器上运行,它没有权限更新AD中所需的设置,以便在本地机器上“安装”MSA。 有没有人得到这个工作? 我假设我可以委托特定的计算机帐户的权限,但也可能会混乱。
问题 由于我们组织中的合并,我们正在迁移到新的常见Active Directory域。 我们的旧遗产领域和新领域之间有双向信任。 我们有两个主要的文件服务器在我们的旧域,用户有一个个人文件夹。 一些用户在一台服务器上有他们的文件夹,而另一台则在另一台服务器上,这取决于他们工作的部门。 在这些个人文件夹上,直接授予用户帐户的NTFS权限。 用户在旧域和新域中都有一个帐户。 所以现在我正在向新(可信)域的相应用户添加这些个人文件夹的权限。 奇怪的是,这在一个文件服务器上正常工作,但不在另一个上。 我在PowerShell脚本,它会引发以下错误: Add-NTFSAccess : Cannot bind parameter 'Account'. Cannot convert value "<New Domain>\<New Username>" to type "Security2.IdentityReference2". Error: "The trust relationship between the primary domain and the trusted domain failed. 当我手动尝试添加权限。 我可以看到其他域以及检查用户的名称。 但是,当我尝试应用权限时出现以下错误: 事情我已经检查到目前为止 受信任域的DC的DNS名称可以很好地从文件服务器中parsing出来 validation信任在“域名和信任”mmc(所有其他信任相关的事情工作很好顺便说一句) 文件服务器位于不同的防火墙区域。 我问networking人员暂时允许文件服务器和可信域的DC之间的所有stream量进行testing。 (但正确的端口应该已经打开,因为两个文件服务器的规则是相同的)
Microsoft Key Distribution Service没有启动我的DC(kdssvc.dll),当我查看Microsoft \ Kdssvc下的事件日志时,看到以下事件: 事件ID 4001组密钥分发服务无法启动。 状态0x80070020。 事件ID 4007 组密钥分发服务无法连接到本地主机上的域控制器。 状态0x80070020。 由于错误,组密钥分发服务无法启动。 请联系pipe理员以解决问题。 错误0x80070020指示某种types的文件locking。 有谁知道我可以修复这个错误? networking故障排除有点稀疏,与KDC混淆。 澄清:这个问题不是关于Kerberos,而是关于在公司环境中处理Group Managed Service Accounts(gMSA),Bitlocker和Windows Activation Services的服务帐户。 这里更新的是procmon
我想在AD DS对象1上运行Set-ACL ,将“Domain Admins”设置为我构build的ACL对象中的所有者。 代码看起来基本上是这样的2 : Function SetDSAcl { Param ( [Microsoft.ActiveDirectory.Management.ADObject]$targetObject # target object ) $targetACL = Get-Acl "AD:\$($targetObject.DistinguishedName)" # [some voodoo to get the values for my new ACE] # Create a new AccessRule using the object constructor # $newAce = New-Object System.DirectoryServices.ActiveDirectoryAccessRule([…]) # Add the generated ACE to target's ACL $targetAcl.AddAccessRule($newAce) # […]