如果我的机器有Windows 7并连接到域,当域控制器不可用时会发生什么情况? 当域控制器不可用时,我该如何正确login? 我的意思是通常它应该使用Kerberos,它应该回退到NTLM。 这是否意味着域帐户和密码哈希存储在SAM?
由于Windows 2000 NTLM已被replace为Kerberos。 因此Kerberos使用UPN来识别用户。 UPN也是首选的usernaming格式。 现在,为什么Windows 7仍然默认显示AD用户login为DOMAIN\USER而不是USER@REALM ? 只有在我明确使用UPNlogin时才会发生这种情况。 在SharePoint,文件属性对话框等中也是如此。 我认为这是由SSPI自动完成的。 我知道AD内部使用SID,但Kerberos没有。 至less我的GSS-API不提供对PAC的访问,我完全依赖于隐含的UPN,这当然是通过LDAP找不到的。 (请注意,属性userPrincipalName可以重置为任意值,如显式UPN(企业主体)。 编辑: 这是另一个很好的理由,为什么这个废话还在。 幸运的是,这个遗产将会在Windows 9中消失。幸运的是,Windows NT 4已经失效了。 另一个终于被弃用了。 因此,有一天Windows应该在域login下拉框中显示Kerberos领域,而不是NetBIOS名称。
我可以通过kadminauthentication,但不能列出校长? [root@server ~]# kadmin -p admin Authenticating as principal admin with password. Password for [email protected]: kadmin: listprincs get_principals: Operation requires “list'' privilege while retrieving list. kadmin: 任何想法如何解决这个问题?
我有一堆Linux服务器和三台Windows服务器2008 R2。 我需要一个解决scheme,使每个这些服务器的密码SSHlogin到所有其他人。 我可以通过在所有机器上生成密钥并将其分发到所有其他服务器来实现此目的,但此解决scheme具有较低的可扩展性。 每当我添加一个服务器,我必须分发它的关键所有服务器。 因此,我需要一个解决scheme,centralypipe理密钥和访问所有服务器。 KERBEROS是我的一种方式吗? 有谁知道Linux上的任何硅胶或更好的解决scheme? 谢谢。
我已经为我的域设置了freeIPA / Kerberos身份validation,并且工作正常。 我有一个服务,不支持基于服务器的身份validation,只有通过/ etc / passwd的本地身份validation。 有没有办法将密码从freeIPAcaching到本地磁盘,然后我可以通过cron作业或systemctl服务自动化?
Kerberos可以在IE 7和Windows 8上运行,但是IE 6的Windows 2000客户端无法使用Kerberos进行身份validation。 Windows Server 2003将身份validation显示为NTLM。 Web应用程序正在使用自己的应用程序池在端口40000上运行。 我怎样才能让IE 6与Kerberos进行身份validation?
我试图build立一个使用joomla的内联网站点。 networking服务器正在使用HTTP Kerberos身份validation和mod_kerb_auth。 一切工作正常,用户得到authentication等。 但是,如果我尝试loginpipe理员面板,我不能因为IE浏览器不接受所需的cookie。 没有这样的问题与Firefox。 Intranet站点称为“intranet_new”,由webintranet04托pipe在/ var / www / vhosts / joomla / intranet_new /目录下。 我有我的虚拟主机intranet_new包含这个: <Location /> AuthType Kerberos AuthName "Kerberos Login" KrbMethodNegotiate On KrbMethodK5Passwd On KrbAuthRealms PROV.TV.LOCAL Krb5KeyTab /etc/apache2/HTTP.keytab require valid-user </Location> webintranet04虚拟主机也是一样,默认是指向/ var / www并包含: <Location /vhosts/joomla/> AuthType Kerberos AuthName "Kerberos Login" KrbMethodNegotiate On KrbMethodK5Passwd On KrbAuthRealms PROV.TV.LOCAL Krb5KeyTab /etc/apache2/HTTP.keytab […]
我在这里看到最奇怪的事情。 我有几台RHEL3,4和5台机器,它们通过Kerberos和一个Active Directoy域控制器作为KDCvalidation用户凭证。 这适用于我的所有用户,保存一个。 有一个帐户无法login到RHEL3 Linux机器,并在那里生成以下错误: May 31 13:53:19 mybox sshd(pam_unix)[7186]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.0.1 user=user May 31 13:53:20 mybox sshd[7186]: pam_krb5: TGT verification failed for `user' May 31 13:53:20 mybox sshd[7186]: pam_krb5: authentication fails for `user' 其他账户,像我自己的,是好的: May 31 17:25:30 mybox sshd(pam_unix)[12913]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.0.1 […]
我在使用SharePoint的Kerberos时遇到问题。 另外请注意,我是一个开发人员,而不是一个networking人,所以如果我使用错误的条款,我很抱歉,但我希望我的意图是明确的。 我们有两个Web前端别名为“SPPortal”,Web前端本身是“WFE1”和“WFE2”。 在我的开发中,我需要能够跨服务器执行双跳。 以下是我如何处理服务器的结果: http:// / spportal – 失败(NTLM) http:/ / wfe1 – 成功 http:/ / wfe2 – 成功 http:/ /sportal.fully.qualified.com – 失败(NTLM) http:/ /wfe1.fully.qualified.com – 成功 http:/ /wfe2.fully.qualified.com – 成功 (http://在上面所有的,因为我是一个新用户,我只能在一个post中发布协议) 任何人有任何想法,为什么别名将无法正常工作? 这是SP 2007在Win2k3上运行。 不是域服务器,AD位于单独的计算机上,且afaik所有补丁都是最新的累积更新。 编辑:这是我们在小提琴的身份validation 在Web前端(http:/ WFE1,http:/ WFE2)本身,这是我们期待所有请求的行为: 401 No Proxy-Authenticate Header is present. WWW-Authenticate Header is present: Negotiate WWW-Authenticate Header is […]
我正在尝试使用Windows Server 2008 NPS来针对我们的思科交换机提供802.1x身份validation。 该设置适用于本地域用户,我现在试图将其与外部组织Kerberos系统集成。 我已经使用ksetup添加了相关条目,在Kerberos系统中configuration了一个信任关系,并为testing用户设置了一个名称映射。 我现在可以对Windows Kerberos进行身份validation,而不会出现任何问题。 现在我想能够在NPS机器上使用Kerberos进行身份validation。 在支持802.1x的客户端上,使用本地域凭据允许我访问networking。 如果我使用Kerberos凭据并在“Logon domain”设置为正确值的情况下使用Kerberos凭据,并且短暂暂停后拒绝访问,则立即拒绝访问。 与“login域”设置,NPS服务器logging身份validation尝试被拒绝,因为“在RADIUS消息的用户名属性中指定的域不存在”。 对不起漫长的漫步。 我希望对某人有意义。