当通过lightdmlogin到系统(在IPA域中)时,Kerberos凭证自动创build。 注销后,它们不会被销毁。 重现步骤: 以用户身份通过GUIlogin系统。 登出。 以root身份login, su – 用户 klist显示用户的凭据,您可以以该用户的身份login域中的其他计算机 对于解决方法,我使用这个: echo "trap 'kdestroy; exit 0' 0" > /etc/profile.d/kdestroy.sh
我有krb5.conf,看起来像 kdc=server1 kdc=server2 kdc=server3 kdc=server4 master_kdc=server1 master_kdc=server2 master_kdc=server3 master_kdc=server4 admin_server=server1 admin_server=server2 admin_server=server3 admin_server=server4 server1和server2被closures,我希望能够对server3和server4进行身份validation。 但是, 直到我注释掉了server1和server2的所有行,才发生这种情况。 是否有任何额外的步骤,我需要采取的文件,以确保故障转移正确发生。
我正在使用configuration了SSH密钥的FreeIPA服务器添加到用户。 我试图让服务器使用来自IPA服务器的ssh密钥进行身份validation,所以我不必pipe理许多authorized_keys文件。 我可以确认这些密钥是sss_ssh_authorizedkeys <user>使用sss_ssh_authorizedkeys <user>添加和检索的,在查询时会为每个用户返回相应的密钥。 但是,当sshd运行该命令时, sss_ssh_authorizedkeys失败,错误代码为13。 我的testing系统是我的CentOS IPA服务器。 我将下面的代码片段添加到了我的sshd_config来启用这个configuration: AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys AuthorizedKeysCommandUser nobody 我也尝试了AuthorizedKeysCommandUser作为根,以确保它不是一个权限问题。 我GOOGLE了我的错误,从IRC归档返回一个单一的结果,最终的结果(从我能告诉)是解决scheme通过电子邮件发送给提问者。 我认为这可能是SELinux的一个问题(在Web服务器场景中困扰着我),但是search“ ssh ”,“ sshd ”或“ authorizedkeys ”并没有产生任何我看不到的东西。 我在阅读身份validation日志方面也不是很擅长,所以我不排除把SELinux作为罪魁祸首。 以下是IPA框中由sshd -ddd生成的日志片段: Connection from 10.77.1.198 port 56579 on 10.77.1.20 port 22 debug1: Client protocol version 2.0; client software version OpenSSH_7.5 debug1: match: OpenSSH_7.5 pat OpenSSH* compat 0x04000000 debug1: Enabling compatibility mode […]
我在freeipa中设置了一些用户。 现在我需要创buildloginfunction,我可以validation用户哪里出现在freeipa。 有什么办法可以通过使用java或任何语言连接freeipa。
美好的一天。 我在这个论坛是新来的,也是处理免费IPA的新手。 我希望你可以给我build议与我的免费IPA服务器的问题。 所以我的任务是创build一个新的免费的IPA服务器,我们有一个旧的,但我们遇到这个服务器上的一些错误证书是无效的,错误在pki-tomcat和身份validation不起作用。 我试图做ipa-replica和ipa-migrate-ds但是无济于事,ldap服务器不通信,authentication失败。 我怕修改config / upgrade或者nerew证书,因为这个服务器处理了很多用户,而且这是目前唯一的一个工作。 然后,我的一个同事问我尝试使用ldapsearch和ldapadd命令转储文件导入用户,组和密码的数据库,因为我是新的,我不熟悉这一点。 我在互联网上发现了一些文件,但它不是很清楚,不像我testing的那样工作。 希望你能给我任何提示做这个和文件。 谢谢!
你好,我刚刚完成与Dovecot + Postfix + Saslauthd设置FreeIPA。 我可以通过dovecot使用imap轻松访问邮件,使用gssapiauthentication,而且postfix也可以很好地发送邮件。 但我不能发送邮件从后缀使用gssapi身份validation(普通和login身份validation工作正常),因为saslauthd从freeipa域请求服务时不指定领域。 警告:SASL身份validation失败:GSSAPI错误:未指定的GSS失败。 次代码可以提供更多的信息(没有find匹配smtp / mx0.aegisnet.eu @的键表项) 正确的请求forms是smtp / [email protected] 我GOOGLE了很多,但无法find任何解决scheme来解决这个问题。 如何configurationsaslauthd,它将使用领域与freeipa联系。 最好的祝福…
我最近遇到了这个问题,即使用户密码已过期,您仍然可以在FreeIPA中对LDAP服务器进行身份validation。 细节可以在这里看到 FreeIPA(LDAP):拒绝具有过期密码的用户的身份validation 此外,红帽IDM文档似乎提到LDAP主要是作为数据存储而不是authentication服务器。 ( https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/ipa-linux-services.html ) 不能让用户密码过期就像是一个非常大的安全漏洞,我主要用作LDAPauthentication服务器,并让我觉得,如果这就是你想要的,FreeIPA / IDM是不是要走的路。 是这样吗? FreeIPA中的LDAP是否被devise为用于身份validation,或者Kerberos是唯一的(或者至less主要)身份validation?
我正在我们的本地networking上运行ldap服务器(freeipa)(防火墙,nat'ted)。 我想将内容推送到外部ldap服务器,以允许我的用户在外部服务上使用他们的login。 我不想打开我的内部ldap服务器到互联网。 有没有办法将freeipa(更改或定期)同步到外部服务器(freeipa或slapd)?
我在Centos 6上运行ipa-server。我正在浏览禁用帐户的用户,并意外禁用了“pipe理员”帐户。 现在我无法做任何事情。 有什么方法可以恢复对这个帐户的访问? 还是为了防止这种情况发生?
我正试图在Fedora 21上安装FreeIPA 4.1.1 yum安装freeipa- * IPA服务器安装 安装过程中出错: [10/27]:将CA链导入RA证书数据库 [错误] RuntimeError:无法检索CA链:HTTP状态404请求失败 无法检索CA链:请求失败,HTTP状态为404 loginipaserver-install.log 2014-12-08T13:34:17Z DEBUG文件“/usr/lib/python2.7/site-packages/ipaserver/install/installutils.py”,行642,在run_script return_value = main_function() 在主文件“/ sbin / ipa-server-install”中,第1181行 ca_signing_algorithm = options.ca_signing_algorithm) 文件“/usr/lib/python2.7/site-packages/ipaserver/install/cainstance.py”,第518行,在configure_instance self.start_creation(运行时间= 210) 在start_creation文件“/usr/lib/python2.7/site-packages/ipaserver/install/service.py”,第382行 run_step(full_msg,方法) 在run_step文件“/usr/lib/python2.7/site-packages/ipaserver/install/service.py”,第372行 方法() 文件“/usr/lib/python2.7/site-packages/ipaserver/install/cainstance.py”,行1066,在__import_ca_chain chain = self .__ get_ca_chain() 在__get_ca_chain文件“/usr/lib/python2.7/site-packages/ipaserver/install/cainstance.py”,第1048行 引发RuntimeError(“无法检索CA链:%s”%str(e)) debuggingipa-server-install命令失败,exception:RuntimeError:无法检索CA链:请求失败,HTTP状态404 有没有办法让FreeIPA安装?