在我盲目地跳过“试错”testing之前,我想问一些关于Web服务器的Kerberos身份validation的一般性问题。 我想评估Kerberos的可能性。 主要好处当然是单点login。 但它也可能是LDAPauthentication等的一个合适的替代scheme(幸好我们的Active Directory已经包含了一个Kerberos KDC)。 帮助,提示和讨论是最受欢迎的! 我想讨论一个相当复杂的设置,以find限制:MS浏览器 – > Linux Squid代理 – >(Linux httpd反向代理) – > Linux的httpd Web服务器 1)据我所知,Web服务器和浏览器都需要永久连接到KDC来获取和validation身份validation票,对吧? 2)我们的KDC只能在我们的内部networking上访问。 这是否意味着我们networking之外的客户将无法在我们的网站上进行身份validation? 如果是这样,那么是否有可能在我们的networking(通过访问我们的KDC)中放置反向代理来代表浏览器获取Kerberos票据? Web服务器能够代表浏览器自己获取一个Ticket吗? 这将是一个适当的解决方法? 我是否应该使用后备ldap身份validation来处理外部客户端(LDAP服务器只需要可用于Web服务器而不是浏览器)? 3)当使用代理服务器(如鱿鱼的正常代理服务器)时,Kerberos如何工作? 代理服务器是否代表浏览器获取票证? 我可以使用某种直通机制吗? 我真的需要改变我的代理上的任何东西,以防止它打破Kerberos身份validation? 我在互联网上发现了很多HOWTO,但是他们中没有一个清楚地表明他们是允许一般访问代理还是访问代理之后的网站。 我将probalbypopup一些更多的问题,但我认为这可能是一个很好的起点,以获得对基于票证的authentication的一些洞察力。 感谢提前!
我正尝试在SQL 2008服务器上创build链接服务器到另一个域上的sql服务器。 我试着按照这篇文章给出的build议: http : //msdn.microsoft.com/en-us/library/ee191523%28v=sql.100%29.aspx有关设置Kerberos委派,但它似乎并没有工作时我想链接到的服务器是在另一个域上。
一个有趣的问题,我希望。 我正在debian 6下运行一组虚拟机,来构build一个邮件/协作服务器。 我主要使用dovecot,postfix,openldap和heimdal。 邮件使用maildir存储在NFSv4共享上。 我的用户是系统用户,但使用LDAP和libpam-ldap以及libnss-ldap来caching凭证信息。 一切都如预期般运作,好吧, 差不多 。 由于NFS使用kerberos,所以默认情况下,如果用户没有收到他们的kerberos票据,他们将无法访问他们的邮件存储。 例如,如果我什么都不做,这是我尝试使用任何imap客户端logindovecot时发生的错误: Mar 31 09:33:07 titan dovecot:imap-login:login:user =,method = PLAIN,rip = 127.0.0.1,lip = 127.0.0.1,安全 3月31日09:33:07 titan dovecot:dovecot:致命:chdir(/ home / emails / team / arodier /)失败:权限被拒绝(euid = 1003(arodier)egid = 1001(red2team)失踪+ x perm:/ home /电子邮件) Mar 31 09:33:07 titan dovecot:dovecot:孩子5089(imap)返回错误89(致命故障) 但是,如果我只是在用户“ arodier ”的控制台上login,我看到我已经收到一张票,我可以看到它与klist: 凭证caching:FILE:/ tmp / krb5cc_1001_ywvktf 校长:[email protected] […]
(Debian Squeeze) 我试图设置Apache以使用Kerberos身份validation,以允许AD用户login。它正在工作,但提示用户两次input用户名和密码,第一次被忽略(不pipe是什么放在里面。 )只有第二个提示包括从configuration的AuthNamestring(即:第一个窗口是一个通用的用户名/密码之一,第二个包括标题“Kerberoslogin”)我不担心集成的Windows身份validation在这个阶段工作,我只是希望用户能够使用他们的AD帐户login,所以我们不需要build立第二个用户帐户存储库。 我该如何解决这个问题,以消除第一个无用的提示? apache2.conf文件中的指令: <Directory /var/www/kerberos> AuthType Kerberos AuthName "Kerberos Login" KrbMethodNegotiate On KrbMethodK5Passwd On KrbAuthRealms ONEVUE.COM.AU.LOCAL Krb5KeyTab /etc/krb5.keytab KrbServiceName HTTP/[email protected] require valid-user </Directory> krb5.conf的: [libdefaults] default_realm = ONEVUE.COM.AU.LOCAL [realms] ONEVUE.COM.AU.LOCAL = { kdc = SYD01PWDC01.ONEVUE.COM.AU.LOCAL master_kdc = SYD01PWDC01.ONEVUE.COM.AU.LOCAL admin_server = SYD01PWDC01.ONEVUE.COM.AU.LOCAL default_domain = ONEVUE.COM.AU.LOCAL } [login] krb4_convert = true krb4_get_tickets = false […]
用户通过mod_auth_kerb进行validation,效果很好。 所以我需要设置 要求有效的用户 如果没有有效的用户Apache失败,需要401授权。 我希望Apache提供网站,但不提供REMOTE_USER到底层应用程序(Python代码或PHP脚本)。 这与如何告诉mod_auth_kerb尽pipe没有“require valid-user”来完成它的工作有关 。 但是重要的区别是,在每个URL上的整个子目录上应该启动Kerberos协商,如果失败,则应该传递内容。
我希望在Linux OEL5x服务器上为使用/ etc / passwd方法的用户启用“compat”模式。 但我真的不知道“compat”如何在Linux中工作。 我已经做了以下configuration – 设置passwd在/etc/nsswitch.conf中compat并在/ etc / passwd中添加用户详细信息。 我能够通过对system-auth进行less量更改来修复login问题,但ssh等协议仍未启用。 有没有办法解决这个问题?
我需要使用krenew运行应用程序,但是应用程序还需要通过命令行接收参数,并且需要将其输出发送到文件。 从文档看来,这应该可以做到这一点: krenew -t — sh -c 'compute-job > /afs/local/data/output' 但不幸的是,当我运行下面的命令: krenew -s — sh -c './my_app config.xml > results/test.txt &' 应用程序只是在一段时间后死亡,我可以从ps aux的输出中看出, krenew不与my_app一起运行。 我不确定参数-t是什么,就我krenew -s ./my_app ,如果我运行krenew -s ./my_app ,它可以正常工作。 我希望有人能澄清这一点。 更新:如果我从命令中删除了“&”(所以它不会被从控制台分离出来,所以我决定在SCREEN选项卡中运行它。虽然这不是最好的解决scheme,工作。
我有一个桑巴服务器工作,我可以通过命令访问不同的共享 smbclient -k //$server.$my_domain.$net/$my_share 我希望在启动时自动提供安装。 身份validation过程依赖于Kerberos。 我已经在我的/ etc / fstab文件中尝试了以下内容: //$server.$my_domain.$net/$my_share /mnt/samba cifs sec=krb5i,rw,user 0 0 一旦对Kerberos服务器进行身份validation,我执行mount -a。 该命令返回$?== 0; 但共享没有挂载,没有日志文件。 没有线索日志,在客户端在服务器端。 我想我只是不使用fstab文件中的适当的选项? 谢谢你的帮助!
我有一个Git服务器,我想让所有使用Kerberos的用户都可以使用它。 例如:如果用户有一个有效的Kerberos票据,她可以开始推送到Git,而不必提供任何用户名/密码。 甚至可以用Git来做到这一点? 我能find的只是Git邮件列表中的这个旧的未答复的问题(用http://),而这个项目说它已经过期(使用git://)。 服务器在Ubuntu 2012.10上,但是如果需要,我可以将它移动到Windows Server 2012。 我可以决定在客户端使用哪种软件。
我有以下nfs导出: /home/users 192.168.1.0/24(rw,sec=krb5p,no_subtree_check,nohide,async,anonuid=65534,anongid=65534) 当试图挂载到客户端时,我得到: client:/home # mount -t nfs4 -o sec=krb5p server:/home/users /home/users -vvv mount.nfs4: timeout set for Sun May 12 21:13:56 2013 mount.nfs4: trying text-based options 'sec=krb5p,addr=192.168.1.2,clientaddr=192.168.1.62' mount.nfs4: mount(2): Permission denied mount.nfs4: access denied by server while mounting server:/home/users 在服务器syslog我得到: May 12 19:59:48 server krb5kdc[2704]: AS_REQ (4 etypes {18 17 16 23}) 192.168.1.62: NEEDED_PREAUTH: […]