虚拟主机已经configuration了这些选项; AuthType Kerberos AuthName "Kerberos Login" KrbMethodNegotiate On KrbMethodK5Passwd Off KrbAuthRealms EXAMPLE.COM KrbAuthoritative On KrbServiceName HTTP/[email protected] Krb5KeyTab /path/to/krb/site.keytab require valid-user site.keytab是apache可读的,包含一个有效的主体; root@pa2# klist -k /path/to/krb/site.keytab Keytab name: FILE:/path/to/krb/site.keytab KVNO Principal —- ————————————————————————– 13 HTTP/[email protected] (des-cbc-crc) 13 HTTP/[email protected] (des-cbc-md5) 13 HTTP/[email protected] (arcfour-hmac) 13 HTTP/[email protected] (aes256-cts-hmac-sha1-96) 13 HTTP/[email protected] (aes128-cts-hmac-sha1-96) root@pa2# kvno -k /path/to/krb/site.keytab HTTP/[email protected] HTTP/[email protected]: kvno = […]
我试图委托KERBEROSauthentication从SQL Server到OLEDB上的文件服务器 。 是否有一个特定的服务原则名称用于将凭据从SQL Server委派给文件服务器? 例如,如果我运行一个SQL Server实例,我必须为它运行一个域用户名…我必须创build一个SPN例如: setspn -S MSSQLSvc/someserver.example.org:50000 example\SQL_srv_account setspn -S MSSQLSvc/someserver:50000 example\SQL_srv_account 那么,我会为运行SMB的LanmanServer / Server服务设置什么? 我想我的问题是,如果我的SMB服务器在端口445上运行,那么我的命令应该如何设置SPN? setspn -S <what-goes-here?>/someotherserver.example:445 example\SMB_srv_account setspn -S <what-goes-here?>/someotherserver:445 example\SMB_srv_account <what-goes-here?>不会是cifs吗? PS这是一个在serverfault和dba stackexchange之间有一些重叠的问题。
我想手动login到ldap服务器。 使用Kerberos进行身份validation。 我在那里用用户名和密码登记。 kinit username@servername 它工作正常,并创build一个有效的TGT,我可以查看使用 klist 但是如何继续下去。 我如何使用TGT连接到ldap服务器? 我读过,在这里需要一个keytab文件。 但是我在/ etc /下没有生成krb5.keytab文件。
是否可以通过添加由Kerberosvalidation的权限来pipe理(强制执行)Linux中的扩展文件权限(ACL)?
我能够使用域凭据连接到我的Windows系统,当它突然停止工作。 我尝试了不同的帐户和不同的域名,并为每个帐户获取相同的错误 – “”msg“:”kerberos:authGSSClientInit()失败:(('未指定的GSS失败。次代码可能提供更多信息',851968),(\“在caching集合中找不到客户端主体用户@域” 1765328243)) “” 该机运行Ubuntu,运行Kerberos 5版本1.12,我也重新启动它。 Klist显示有效的票证是可用的。 任何地方都没有改变。 在互联网上search,并没有发现任何东西。 我如何找出问题所在? 这些软件包已安装: pip(1.5.4)pycrypto(2.6.1)pykerberos(1.1.13)python-apt(0.9.3.5ubuntu2)python-debian(0.1.21-nmu2ubuntu2)python-ntlm3(1.0.2)pywinrm(0.2.0) )
我有要求是用户已经join到使用ldap服务器相同的凭据login的域名,他们不想再次login到shibboleth SSO,所以我search了Shibboleth文件,它已经支持基于SPNEGOlogin。 我不得不提出以下问题: 在Cent OS下运行的shibboleth服务器是否支持这个协议? 如果它支持分OS我可以知道如何,我们必须configuration它与Active Directory commuincate? 如果它只支持Windows环境,我知道它只有当Windows服务器必须在同一个域中join时才起作用吗? 当前服务器环境 Centos 7 Shibboleth 3.3 SAML&CAS(我们使用两种协议)
以下设置:我正在运行一个Kerberos(麻省理工学院)和ldap(OpenLDAP)服务器单点login等一切工作正常,但我有一个关于非活跃用户的问题。 我需要findkerberos校长,最后一次成功的login超过了一定的时间范围。 到目前为止,我还没有能够在kadmin中find任何一种“主要参数的列表选项”。 当然,我可以通过input以下方式来查看每一位校长 > kadmin: get_principal $princ_name. 看看popup的是什么 不过,这对我来说可能会变得非常麻烦。 有没有人有一个诀窍/选项,以加快这一进程? 我唯一不喜欢的select是脚本 > kadmin -p kerb_user -q "get_principal $princ_name", 或直接查看kerberos服务器上的日志文件。 也许有人有一个想法!
我在运行CentOS 7的两台虚拟机上尝试使用Kerberos。一台虚拟机作为服务器,另一台虚拟机作为用户应该login的客户端主机。 我的完整设置如下所示。 当我创build一个新用户来testing我的设置,这个用户可以SSH(或直接login)到客户端主机,他会自动获得一个Kerberos TGT( klist )。 但是,如果我运行passwd来更改密码,我得到一个错误。 在日志中(通过journalctl ),在对密码更改(使用旧密码)进行身份validation时,会看到以下消息: unix_chkpwd[8790]: password check failed for user (demouser) passwd[8788]: pam_unix(passwd:chauthtok): authentication failure; logname= uid=1001 euid=0 tty=pts/2 ruser= rhost= user=demouser 然后我input新的密码两次,并在日志中获得这些额外的消息: unix_chkpwd[8792]: password check failed for user (demouser) passwd[8788]: pam_unix(passwd:chauthtok): user password changed by another process passwd[8788]: pam_krb5[8788]: password change failed for [email protected]: Cannot contact any KDC […]
在Ubuntu上使用Kerberos设置sshd时 ,需要“确保每个用户都有一个有效的帐户,既可以在本地主机上(通过adduser或类似的方式),也可以通过共享源如LDAP 这是为什么? 我可以看到,如果您使用GSSAPIAuthentication选项或KerberosAuthentication,您已经validation用户对KDC。 这只是一个需要将用户名映射到用户ID的问题?
我正在为办公室安装一些Web应用程序,其中一个需求是Kerberospipe理的SSO。 现在,我已经find了一些关于此事的信息 ,我想知道哪些浏览器集成了Kerberos SSO? 当然,如果缺lessKerberosfunction,我可以使用底层Web应用程序进行身份validation,这正是计划,但是我想知道哪些浏览器可以为此工作,所以我可以提前计划并确定它是否是平衡的值得这样做,我相信它会考虑我正在实施的一个networking应用程序将是一个ERP。