我有一个非常类似于Dan Bishop的Ubuntu 12.04 Ultimate Server Guide的设置 。 我实际上创build了一系列可靠的脚本来在我的github上自动化这个过程。 所以我在客户端连接的机器上设置了ldap + kerberos。 我有一个运行nfs服务器的nas,它为域中的用户提供/ home目录。 你可以在github上看到我的完整configuration,减去我的环境特定的variables,如密码等。 除了一个问题,一切似乎都在起作用。 如果我以domainadmin用户身份login到计算机,则可以使用sudo来运行更新apt cache等命令,但是我无法修改/ home中的数据。 请参阅下面的内容,请注意,两个用户(ansible和jgrowl)都是domainadmins: ansible@ip-192-168-0-13:~$ pwd /home/ansible ansible@ip-192-168-0-13:~$ ls -l /home total 12 drwxr-xr-x 8 ansible ansible 4096 Aug 12 14:07 ansible drwxr-xr-x 7 jgrowl jgrowl 4096 Aug 12 14:08 jgrowl ansible@ip-192-168-0-13:~$ mkdir test1 ansible@ip-192-168-0-13:~$ ls -l total 4 drwxrwxr-x […]
我想设置我当前的mssql数据库(2008年和2012年)使用我在我的环境中使用的Linux kerberos服务器进行身份validation。 Windows站在一个工作组,我想避免必须设置一个域控制器和活动目录。 我怎么能做到这一点? 我需要在Windows端和Kerberos服务器端进行configuration(假设它已经configuration了与基于Linux操作系统上运行的其他dbs一起工作)?
我们无法在一台服务器上以域pipe理员身份login,但可以在其他服务器 当我查看Active Directory时,可以看到计算机对象对于我们无法login的服务器不存在。 但是,有一个正确的计算机名称的DNSlogging。 我不知道这是否被删除,但我检查了ldp.exe的删除对象,并没有看到它。 如果它在域名上,它一定存在。 我现在已经用计算机名称重新创build了这个计算机对象,但仍然无法login并得到相同的错误。 我现在不能login计算机存在,或者该对象有不同的SID,不对应于机器? 另外,我尝试将此服务器添加到Server 2012中的服务器组,但由于某些原因,在Active Directory中找不到它。 我做了,但是通过在“添加服务器”的DNSfind它,但得到“kerberos目标分辨率错误”的kerberos错误。 详细信息显示“无法find计算机xxxxxx.domain.local”即使它添加时通过DNSfind它。 所以我的问题是…为什么这台机器无法validation,如果我已经在Active Directory中重新创build它?
我将我的机器设置为Kerberos客户端。 我有一个问题,如何kerberosconfiguration文件实际上生效,以及如何清除其影响。 我的实验如下。 第一步,在不编辑/etc/krb5.conf文件的情况下,我input了kinit并得到了我的预期。 aaaa@bbbb:~> kinit kinit(v5): Configuration file does not specify default realm when parsing name aaaa 第二步,我编辑/etc/krb5.conf来input有效的kerberos服务器信息,然后再次inputkinit 。 aaaa@bbbb:~> kinit Password for aaaa@bbbb: pingluo@zhejiangNEW:~> klist Ticket cache: FILE:/tmp/krb5cc_1000 Default principal: aaaa@bbbb Valid starting Expires Service principal 08/13/14 11:36:34 08/13/14 21:36:34 krbtgt/bbbb@bbbb renew until 08/20/14 11:36:34 所以我可以得到一个有效的kerberos票证,这表明我的configuration是正确的。 步骤3,用kdestroy销毁证书。 第4步,我删除了/etc/krb5.conf希望这将清除kerberosconfiguration和kinit会显示在第1步中的消息。但是,我很惊讶地看到步骤2中的消息。所以kerberosconfiguration,而它已被删除,仍然有效! 我重新启动了我的机器,它仍然是一样的。 有人可以解释发生了什么,我怎样才能彻底摆脱Kerberos? 我的机器运行OpenSUSE 13.1。 krb5客户端是1.11.3。
目前,我正在研究使用Kerberos作为云结构的主要身份validation协议的可能性。 我们可能会遵循这个想法,为了HA,最好的select是多个虚拟机。 我知道虚拟环境和Kerberos存在一些问题,特别是关于随机性和熵的话题。 我的理解是Kerberos需要直接访问硬件,但我不确定是否仍然如此。 在任何testing环境下,MIT Kerberos都可以在虚拟硬件上运行而不会出现任何复杂情况。 问题是,这是生产环境的推荐设置吗?
对不起,如果这是错误的stackexchange网站。 基于文档 (供参考,我也用这个博客文章 ),我有这在httpd.conf中: # Increase max size of HTTP request headers so we are sure it can hold any SPNEGO token. LimitRequestFieldSize 12392 # Load the module LoadModule auth_gss_module /apps/apache2/modules/mod_auth_gss.so # Set general log level so we get some output LogLevel debug <Directory "/var/www/secured"> Order allow,deny Allow from all AuthType GSSAPI AuthGSSServiceName HTTP AuthGSSKeytabFile […]
我尝试从kimsufi.com的专用服务器上设置Samba 4,但是configurationKerberos和Samba4时遇到困难。 我对Kerberos和Samba中的IP,领域,域名,NetBIOS,DNS等非常困惑。 我发现的所有教程似乎处理局域网中的homeservers,并显示像TEST.LOCAL这样的域名,但我的机器在互联网上的IP不同于192.168 … 我的问题是:如何configuration在我的具体情况? 我的服务器的详细信息(Debian 7.8): 主机名:ks12345xxx.kimsufi.com IP:37.187.xx.xxx / ECT /主机: 127.0.0.1 localhost.localdomain localhost 37.187.xx.xxx ks12345xxx.kimsufi.com ks12345xxx / ECT /主机名: ks12345xxx.kimsufi.com /etc/sesolve.conf: 域名服务器127.0.0.1 域名服务器213.186.33.99 searchovh.net 在Kerberos安装期间,我得到以下的默认值: Kerberos版本5领域:KIMSUFI.COM 是对的吗? 服务器无法由kimsufi.com联系,因为这是我的主机的域名 Kerberos服务器为您的领域: 默认为空。 我该放什么东西? 没有或我的主机名ks12345xxx? 您的Kerberos领域的pipe理服务器: 默认为空。 我该放什么东西? 没有或我的主机名ks12345xxx? 在SAMBA4由“samba-tool domain provision”提供的过程中,我得到了这些默认设置: 领域[KIMSUFI.COM]: 与Kerberos安装一样的担心:是的,kimsufi.com不指向我的服务器 域[KIMSUFI]: 正确? 服务器angular色(dc,member,standalone)[dc]: DNS后端[SAMBA_INTERNAL]: 这些都没问题 DNS转发器IP地址[127.0.0.1]: 那是对的吗? 最后我得到这个输出: 服务器angular色:活动目录域控制器 主机名:ks12345xxx NetBIOS域名:KIMSUFI […]
我都不知道为什么它停止工作,这是我检查: 的httpd-error.log中: [Thu Jun 11 18:04:21 2015] [debug] src/mod_auth_kerb.c(1758): [client 10.105.5.131] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos [Thu Jun 11 18:04:21 2015] [debug] src/mod_auth_kerb.c(1758): [client 10.105.5.131] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos [Thu Jun 11 18:04:21 2015] [debug] src/mod_auth_kerb.c(1264): [client 10.105.5.131] Acquiring creds for HTTP/<FQDN>@<LOCAL.DOMAIN> [Thu Jun 11 18:04:21 2015] [debug] […]
如何设置Kerberos身份validation与IPv6? 当客户端设备使用公共的,全球可路由的IPv6 IP地址时,会有什么影响? 如何设置这种方式而不是使用NAT作为IPv4的常态?
我们使用Foreman和Puppet来pipe理我们的Unix系统,但Kerberos基础架构是通过Active Directory实现的(因为Exchange)。 用AD注册新引导的主机是一个手动过程,我们非常希望将其自动化。 看来, Foreman已经 (或曾经)支持joinAD-realm了一段时间,但我找不到任何实际的例子或教程。