我正在尝试解决REST服务器和Excel加载项/ .NET客户端之间的间歇性连接问题。 当一切运行平稳时,加载项将打开与服务器的Kerberos会话,并在每个后续调用中使用预authentication,使100个或更多REST调用获取或发布数据。 所以我在服务器访问日志中看到类似这样的内容: St. Type 200 GET 200 GET 200 GET 200 GET 200 POST 200 POST 200 POST 200 POST 当连接问题出现时,它只会影响POST调用。 所以我看到这样的事情: 200 GET 200 GET 200 GET 200 GET 401 POST 200 POST 401 POST 200 POST GET调用通常每次都有一个不同的参数,并且POST调用类似,除了发布的数据与调用呼叫不同之外。 这不是使用代理 – 它是更早,这是更糟的,所以我已经删除了代理。 当我用提琴手在工作站上观看时,我没有看到任何吸烟枪。 我有一个可疑的tracert结果: $ tracert adamsapp.megacorp.com Tracing route to adamsapp.megacorp.com [1.2.2.123] over […]
MIT Kerberos的文档解释了凭证caching文件是如何格式化的。 它基本上包括: 一个头 关于REALM和用户的信息 一个关键的障碍 有关票证到期的信息 的authData 门票本身 我想出了大部分这些组件的目的,但仍然不明白关键是什么。 这是用Kerberos进行身份validation所必需的一些encryption的blob。 我一直在挖掘文档和许多其他资源来了解这一点,但无法find明确的答案。 它可能是一个encryption的时间戳,以避免重播攻击或可能是一个校验和。 但是我不确定。 有谁知道这个区块的目的是什么? 它编码什么样的信息?
我试图根据RedHat 当前的build议 ,使用SSSD访问Active Directory,以KRB5身份validation来configurationNFSv4。 在这种情况下,NFS服务器是一个NAS设备,它处理用户@域帐户和从AD / LDS提取的UID / GID之间的用户映射。 我已经禁用SSSD中的ID映射,因为NAS没有相同的可用于计算“自制”ID的散列+模数方法。 在当前状态下,NAS识别文件权限的用户和组所有权,并按预期执行它们。 但是,从客户端输出的ls在域用户拥有的任何文件/文件夹上不显示nobody nobody 。 [root@nfsclient ~]# ls -al /mnt/nfs4test/ total 0 drwxr-xr-x. 1 nobody nobody 0 Jul 17 10:46 . drwxr-xr-x. 3 root root 22 Jul 17 10:47 .. 对于idmapd和sssd,日志logging的详细程度最高,我看到的唯一事件表明任何问题是: Jul 17 11:48:23 nfsclient nfsidmap[10601]: nss_getpwnam: name 'nfsadmin' not found in domain 'testdomain.local' 我还通过数据包捕获证实了查找答复中所有者和组(不是ID)的预期用户/组名称string: fattr4_owner: […]
我正在尝试设置一个Kerberos + LDAP堆栈,并将其拖至kinit步骤。 这是在Debian拉伸每当我尝试使用klist它的结果 klist:未find凭证caching文件'/ tmp / krb5cc_0' 我试图kinit,但结果在一个空白行,我可以键入(就像猫> / dev / null)。 kinit -R不工作不说 kinit:在更新凭证时未find凭证caching文件“/ tmp / krb5cc_0” 谢谢你的帮助 !
我有krb5.conf,看起来像 kdc=server1 kdc=server2 kdc=server3 kdc=server4 master_kdc=server1 master_kdc=server2 master_kdc=server3 master_kdc=server4 admin_server=server1 admin_server=server2 admin_server=server3 admin_server=server4 server1和server2被closures,我希望能够对server3和server4进行身份validation。 但是, 直到我注释掉了server1和server2的所有行,才发生这种情况。 是否有任何额外的步骤,我需要采取的文件,以确保故障转移正确发生。
Kerberos重放检测中存在误报的问题。 它发生的次数比我们预期的要多。 我们的KDC是Active Directory。 我怀疑validation器中的时间戳有效地小于RFC 4120中指定的微秒粒度。例如,可能是系统时钟的刻度小于1微秒。 任何人都可以证实或驳斥我的怀疑吗?
我有一个使用Kerberos身份validation的Intranet站点。 我有问题,当用户不允许访问 在Firefox中,在.htaccess中设置的ErrorDocument 401可以正常工作,但在IE / EDGE / CHROME中会出现浏览器错误(请参见下文) 铬: 此网站无法联系到 http:// mysite /的网页可能暂时closures,或者可能永久移动到新的url。 ERR_INVALID_RESPONSE IE / EDGE: 无法访问此页面 •确保urlhttp:// mysite /正确•在Bing上search此网站•刷新页面 更多信息更多信息 与网站的连接被重置。 错误代码:INET_E_DOWNLOAD_FAILURE 的.htaccess AuthType Kerberos AuthName "Staff Intranet" KrbAuthRealms DOMAIN.LOCAL KrbServiceName HTTP Krb5Keytab /etc/kerberos.keytab KrbMethodNegotiate On KrbSaveCredentials On KrbMethodK5Passwd On KrbAuthoritative off KrbVerifyKDC off KrbLocalUserMapping On AuthLDAPURL "ldap://DOMAINCONTROLLER/DC=DOMAIN,DC=local?sAMAccountName" AuthLDAPBindDN "CN=IntranetSites,OU=Non-staff,OU=Users,DC=DOMAIN,DC=local" AuthLDAPBindPassword "PASSWORD" Require […]
我在使用samba的CentOS 7中遇到Active Directory域控制器问题。 我做域configuration和所有步骤出现没有错误。 我可以以pipe理员身份join一个Windows 10用户。 我为Windows 10安装了RSAT,可以加载域configuration,但无法pipe理域。 如果我想添加一个新的用户或行政单位,不要这样做。 就好像用户没有执行任务的权限。 任何想法的问题? 在这里我的configuration文件和testing命令输出: [root@dominio ~]# cat /usr/local/samba/etc/smb.conf # Global parameters [global] netbios name = DOMINIO realm = HOME.LOCAL workgroup = HOME dns forwarder = 8.8.8.8 server role = active directory domain controller [netlogon] path = /usr/local/samba/var/locks/sysvol/home.local/scripts read only = No [sysvol] path = /usr/local/samba/var/locks/sysvol read only […]
我有一个问题,是我们办公室的另一个人带给我的。 他正在对我们的软件所使用的服务进行故障诊断,尝试使用指定端口上的服务连接到SQLServer2。 它首先调用SQLServer1来检索正确的AD信息,然后使用刚才从调用中收到的FQDN与SQLServer2build立一个常量连接。 当SQLServer1中的值更改为该服务正在调用的IP地址而不是FQDN时,这完全正确工作。 它返回一个Kerberos错误“Kerberos客户端从服务器informconsole收到一个KER_AP_ERR_MODIFIED错误,目标名称使用host / domain.local” 有谁知道什么可能导致这个错误,以及如何解决它? 在这一点上,我们认为这是一个networking错误,但所有的networkingstream量可以validation是正确的。 每个节点之间的所有连接都是稳定的,可以通过ping和tracertvalidation为可达。
我的情况如下: 我们有大量的Linux用户,因此我们的帐户在MIT Kerberos服务器上。 我们有几个Windows用户,他们的帐户在Windows AD中。 而且我们有越来越多的有时使用这两个系统的用户。 我们希望Linux用户能够login到Windows机器。 由于Linux用户的数量非常大,因此将帐户迁移到AD不是一种select。 所以我继续前进,创build了一个双方存在的testing用户/校长。 我还创build了AD和MIT Realm之间的(双向)信任关系,从Linux端成功地进行了testing。 然后,我使用ksetup来设置Windows机器来识别外国领域 ksetup default realm = ad.domain (NT Domain) LINUX.REALM: kdc = kdc.linux.realm kpasswd = kdc.linux.realm Realm Flags = 0x0No Realm Flags Mapping all users (*) to a local account by the same name (*). 检查退货 nltest /TRUSTED_DOMAINS List of domain trusts: 0: LINUX.REALM (MIT) […]