我试图集成鱿鱼3.5.19与AD / Kerberos(Windows 2008 R2),但我总是得到TCP_DENIED:HIER_NONE 这些是/var/log/squid/cache.log中的错误 2016/07/28 10:26:01.583 kid1| 29,4| UserRequest.cc(290) authenticate: No Proxy-Auth header and no working alternative. Requesting auth header. 2016/07/28 10:26:01.584 kid1| 29,9| UserRequest.cc(487) addReplyAuthHeader: headertype:46 authuser:NULL 2016/07/28 10:26:01.584 kid1| 29,9| Config.cc(188) fixHeader: Sending type:46 header: 'Negotiate' 2016/07/28 10:26:01.625 kid1| 29,9| UserRequest.cc(328) authenticate: header Negotiate TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAKAFopAAAADw==. 2016/07/28 10:26:01.625 kid1| 29,9| UserRequest.cc(332) authenticate: […]
使用Samba 4作为Windows“域名成员”,我想自动部署keytabs。 具体来说,我想相当于将服务主体添加到适当的表。 例如, # kadmin -k /etc/squid/proxy.keytab -w secret -p kadmin/admin -q "ktadd HTTP/proxy.my.domain" 可悲的是,MS似乎没有提供kadmin互操作性。 桑巴有类似的命令 # net rpc vampire keytab all.keytab -U Administrator%secret # net ads keytab create -U Administrator%secret 然而这两者似乎都不能有select地提取服务主体。 另外,对于非平凡的网站安装,我想象“吸血鬼”方法需要太多的系统资源,更不用说使用ktutil进行必要的后处理。 在我的testing设置中,DC是Windows2008服务器,客户端运行的是3.14-ish Linux,MIT KRB5 1.15.x和Samba 4.x. 有问题的kerberized服务是Squid v3.5.x. 在DC( ktpass )上创build密钥表后,Kerberos集成本身可以很好地工作,然后手动将它们复制到每台机器上。 但我宁愿避免这种行人方式。 它不一定是基于Samba的解决scheme。 这只是我正在调查ATM的path。
所以我试图从RHEL Server 7.4机器连接到我们的SQL服务器,我已经安装了kerberos,unixodbc和Microsoft ODBC for Linux。 我尝试连接到的SQL Server在Active Directory域内,我能够通过使用kinit进行身份validation,但仍然得到SSPI Provider: Server not found in Kerberos database. 错误。 这是我的terminal片段: [RH@localhost /]$ sudo kinit [email protected] [sudo] password for RH: Password for [email protected]: [RH@localhost /]$ sqlcmd -E -S MyServer Sqlcmd: Error: Microsoft ODBC Driver 13 for SQL Server : SSPI Provider: Server not found in Kerberos database. Sqlcmd: […]
我正在尝试为我的SQL Server(数据库引擎域帐户)configurationKerberos。 我已经执行了下面的命令: SETSPN -A MSSQLSvc / MyDBServer:1433 MyDomain \ SQLServerService 使用服务器的FQDNreplaceMyDBServer,并用我的账户名replaceMyDomain \ SQLServerService。 然后我跑了查询: SELECT s.session_id,c.connect_time,s.login_time,s.login_name,c.protocol_type,c.auth_scheme,s.HOST_NAME,s.program_name FROM sys.dm_exec_sessions s JOIN sys.dm_exec_connections c ON s.session_id = c.session_id 这将返回NTLM。 所以这不是Kerberos。 我在做什么? 代表选项卡可用于该帐户,所以spn位工作得很好。 是否需要在委派选项卡中设置一些设置? 我在为Sharepoint 2010(我打算设置)设置Kerberos的情况下见过这种情况。 谢谢
我已经安装并configuration了LDAP,安装并configuration了kerberos以使用LDAP作为后端,如下所示: [dbdefaults] ldap_kerberos_container_dn = dc=voltage,dc=com [dbmodules] openldap_ldapconf = { db_library = kldap ldap_kdc_dn = "cn=admin,dc=voltage,dc=com" # this object needs to have read rights on # the realm container, principal container and realm sub-trees ldap_kadmind_dn = "cn=admin,dc=voltage,dc=com" # this object needs to have read and write rights on # the realm container, principal container and realm […]
我们运行Windows 2008networking(2008年DC级别)。 有许多用户只能在家工作并通过VPN连接到networking。 最近,许多这些用户的组成员身份发生了变化,成员资格也没有变成他们的机器。 我需要一种方法来更新他们的安全组的Kerberos票证。 通常情况下,这发生在login,虽然这些用户login时没有连接到networking,并没有得到更新。 gpupdate / force不会更新本地Kerberos票据。 正在使用gpresult / r来查看用户的当前安全组。 我怎样才能得到这些用户更新?
我们将在数据中心环境中为我们的RedHat / CentOS服务器部署一个集中authenticationLinux服务器(RHEL6)。 我做了一些search,我相信自由IPA是最好的select,因为它更安全,它有更好的sudo和HBAC规则,能够设置密码策略,它可以与Windows Active Directory等集成。 但是,我有NTP和DNS的问题,我们已经在DC环境中有我们的DNS和NTP群集。 我相信我可以使IPA成为DNS转发器,但它仍然是一个中间件。 而且,我们不会把IPA服务器当作集群,所以在集中式的DNS和NTP服务器上有一定的风险。 我的问题在这里:1.为什么我应该有DNS和NTP由IPA集中? 2.我是否可以避免configurationDNS和NTP,并通过我现有的DNS和NTP服务器来满足我的IPA客户端? 另外,避免将IPA作为DNS和NTP的中间件? 3.是否有更好的select比IPA,稳定,可扩展和简单的configuration服务器? 谢谢..
helloo我所有的问题发生这样的。 当试图login到网站不能login由于popup消息发生显示没有参考服务器。 检查系统事件发现错误消息识别keberosauthentication失败,由于同步到时间失败。 那么,我们如何防止始终keberos身份validation问题,任何答复你可以帮助。
Debian 6 MIT Kerberos即krb5 我们可以通过在命令行使用kpasswd来更改我们的Kerberos密码。 我们希望为用户提供在友好的Web界面中更改Kerberos密码的选项。 有没有一个现有的Web应用程序或脚本,使这成为可能? 我一直在search,我还没有发现任何有希望的。 现有工具的任何线索,如何做到这一点,将不胜感激。
我的架构就是这样的: 一个带有副本的被驱逐的活动目录服务器 Active Directory域中带有Windows XP客户端的本地networking 域的本地Samba服务器成员 在samba服务器上,我可以使用getent与AD用户共享acls 所有的工作正常,当一个用户在Windows XP会话中进行身份validation,他可以访问谁拥有他的权利。 现在我想要使活动的连续性,如果活动目录的链接是。 例如,用户在上午8点连接到他工作的分享,并且该链接被closures。 他可以继续访问分享。 但是,如果这个用户注销到Windows并login他不能访问共享。 我怎样才能保持一段时间的身份validation(例如8小时)的桑巴共享。 Windows XP会话可以打开,如果到活动目录的链接是 谢谢你的帮助