我尝试设置一个新的Mailsystem,并为IMAPconfigurationPostfix for smtp和Cyrus,身份validation应该再次通过SASLAUTHD工作Active Directory。 我安装以下版本: 赛勒斯2.2 后缀:2.5.5 Debian GNU / Linux 5.0 PAM(Linuxlogin)和IMAP的身份validation仍然有效,但不适用于smtp。 host:/etc/postfix# testsaslauthd -u user -p passwd -s smtp 0: NO "authentication failed" host:/etc/postfix# testsaslauthd -u user -p passwd -s imap 0: OK "Success." host:/etc/postfix# 我在这个Turorial之后安装Kerberos Auth: SASL对Active Directory进行身份validation # saslfinger -s saslfinger – postfix Cyrus sasl configuration Do 11. Nov 15:07:16 CET […]
我认为这是一个简单的解决scheme,但是我更愿意先问问我们的内部网服务器。 在支持会话期间,我的同事和我意识到我们可以通过SSHloginKerberos凭据,但不能通过控制台login(在这种情况下,ESXi的VI Client,但并不重要)。 那么,我只是修改login PAMconfiguration吗? 当前状态: # PAM configuration for the "sshd" service # # auth #auth sufficient pam_opie.so no_warn no_fake_prompts #auth requisite pam_opieaccess.so no_warn allow_local #auth sufficient pam_ssh.so no_warn try_first_pass auth sufficient pam_krb5.so try_first_pass auth required pam_unix.so try_first_pass # account #account required pam_nologin.so #account required pam_login_access.so account sufficient pam_krb5.so try_first_pass account required pam_unix.so # […]
Debian 6 MIT Kerberos即krb5 我希望能够定期审核/testingKerberos服务器中的密码以确保质量。 如果密码可以快速破解,我想通知用户更改密码等。 我pipe理Kerberos服务器。 我可以使用kdb5_udil来转储数据库。 我不知道该怎么做。 什么是审核/testingMIT Kerberos krb5密码的好工具和方法? 注意: 我读过约翰开膛手也许能做到这一点,但我还没有成功。 我试过在我的dump中指向unafs,并要求input数据库文件和单元名称。 我不知道单元格名称是什么,我猜测这是特定于Kerberos / AFS而不是KDC的转储文件?
我有一个Active Directory SPN帐户的一个奇怪的问题。 这是行不通的:kinit HTTP / [email protected] 但是,“setspn -l SA_MyUser”列出“HTTP / my.host.com”作为注册的服务主体。 这个AD帐户有问题,但是会是什么情况呢?
Kerberos身份validation与Apache mod_auth_kerb有一个奇怪的问题。 我们使用一个非常简单的krb5.conf,其中只configuration一个(主)AD服务器。 森林中有很多领域,似乎SSO在其中大部分领域都在工作,除了一个领域。 我不知道该域的特殊之处,我在Apache日志中看到的错误消息是“在Kerberos数据库中找不到服务器”: [Wed Aug 31 14:56:02 2011] [debug] src/mod_auth_kerb.c(1025): [client xx.xxx.xxx.xxx] Using HTTP/[email protected] as server principal for password verification [Wed Aug 31 14:56:02 2011] [debug] src/mod_auth_kerb.c(714): [client xx.xxx.xxx.xxx] Trying to get TGT for user [email protected] [Wed Aug 31 14:56:02 2011] [debug] src/mod_auth_kerb.c(625): [client xx.xxx.xxx.xxx] Trying to verify authenticity of KDC using principal […]
我有一个小问题让我的客户端对我刚安装的Kerberos服务器进行身份validation。 每当我运行: [root@localhost log]# kadmin -r KERBEROS.MONZELL.COM -p host/kerberos.monzell.com Authenticating as principal host/kerberos.monzell.com with password. 我收到以下消息: Password for host/[email protected]: kadmin: Communication failure with server while initializing kadmin interface 在服务器端,我看到以下内容: Sep 12 23:19:47 sl6 krb5kdc[6349](info): AS_REQ (4 etypes {18 17 16 23}) 192.168.15.31: SERVER_NOT_FOUND: host/[email protected] for kadmin/[email protected], Server not found in Kerberos database 虽然之后似乎还在做其他事情: Sep 12 […]
我们在Apache内部使用Mod_auth_kerb和我们的内部Kerberos进行身份validation,从而在内部托pipe我们自己的Redmine rails Web应用程序。 我们有2个内部Kerberos服务器KDC1和KDC2。 KDC1是主人。 KDC2是KDC1的奴隶。 当KDC1正在工作,我们没有问题,Redmine在我们的Apache与乘客设置是响应。 Kerberos服务器正在运行Debian Lenny Redmine Apache2服务器正在运行Debian Squeeze 由于最近出现了一些硬件问题,KDC1脱机。 在这段时间里,每一个Redmine的页面加载速度都非常慢,每个页面加载需要大约10秒。 Redmine的工作,通过名为KDC2奴隶的Kerberos身份validation工作,但它非常缓慢。 对于每个Redmine页面加载,Redmine Apache系统将开始查找KDC1并最终使用KDC2。 这个过程每次花费几秒钟。 我尝试在Redmine Apache服务器的/etc/krb5.conf中使用以下不同值的选项 [libdefaults] default_realm = DOMAIN.COM kdc_timeout = 1 max_retries = 0 我尝试了不同的值,我运行tcpdump来查看延迟是在哪里,看看是否改变上述设置有所不同,我没有看到tcpdump捕获或浏览器中的Redmine页面加载的任何差异。 我做错了吗? 是否有可能使我们的Redmine Apache系统使用KDC2更快,更快,如果KDC1失败,速度不会明显变慢? 什么是一些好的方法或什么是设置Kerberos进行高可用性故障转移的最佳方式? 如果我不能加速上面的我们使用奴隶,那么我可以尝试其他的东西,而不是从属,创build两个相同的KDC1服务器,并使用心跳来故障转移IP地址为kdc1.domain.com在事件失败或什么的。 我还没有得到。 提前致谢。
我有使用Kerberos身份validation的鱿鱼设置。 我也使用squidguard作为URLredirect来阻止网页的通常的尴尬。 有一些网站,虽然我们允许某些用户,而其他人不。 假设我没有使用任何stream媒体,这一切运作良好。 从我可以从鱿鱼日志和wireshark跟踪我已经确定,当最初的stream请求发送,一切都很好,authentication用户名与请求发送到鱿鱼。 问题是,在后续stream量上,用户名不会发送到squidguard,导致它根据默认策略被阻止。 我试过使用鱿鱼内置的允许/拒绝的东西,但它相对笨重,到目前为止squidguard已经相当容易和快速。 问题在于: 我如何让Squid通过所有请求的用户名? (有些东西告诉我这不是最好的方法) 即使用户名不通过,我如何才能使用squidguard查看stream量是否已通过特定用户的身份validation? 有没有其他方式来完成这个? 一些细节可能是重要的: 我使用一个存储在文本文件中的用户列表来比较squidguard。 我使用Squid使用完整的Kerberos身份validation。 CentOS 6.0 鱿鱼3.1.4 鱿鱼卫士1.3 编辑 澄清我已经添加了以下calamaris片段来演示发生了什么: wsXX.domain.local 534 5.99 34M 3.04 1 69.93 *.outsidedomain.com 204 14.22 5M 20.66 0 92.14 <error> 137 0.00 0M 0.00 0 589.16 [email protected]@wsXX.domain.local 115 0.00 1M 0.00 70 0.16 *.outsidedomain.com 84 0.00 1M 0.00 73 […]
我不是“单一login”是我想要完成的正确术语,所以如果我错了,请纠正我的错误。 我们有一个Mac OS X服务器和Mac客户端。 Kerberos和Open Directory正在运行,显然很开心。 我想象下面的情况,但我们很难使其工作:用户login到他们的Mac后,我希望他们能够点击一个服务器名称/图标(在Finder侧边栏),并自动地login到该机器。 看起来很简单… 但是,当用户点击服务器图标时会发生什么,他们是以“Guest”身份login的,只有“Public”文件夹。 从这里他们可以点击“连接为…”再次validation,然后看到所有的共享点。 当然,他们可以“在我的钥匙串中记住这个密码”,但是无论如何,这种方式打败了单点login的目的。 有些用户在服务器上绑定了本地“托pipe”帐户(在客户端)。 两者都有相同的名称/密码。 客户端绑定到networking帐户服务器。 我希望我解释这个确定。 任何人都知道如何做这个工作,或者我们的设置有什么问题?
我有这个问题已经有几个星期了,但是到现在为止还没有时间专注于这个问题。 我的公司有一个相对较新的Windows Server 2011安装,它也运行Microsoft SQL Server 2008.一切正常运行,直到有一天,我们有一个意外的停电和服务器死亡。 我重新启动,并认为一切正常,但是当我试图访问SQL服务器,我收到消息Cannot generate SSPI context. (Microsoft SQL Server, Error: 0) Cannot generate SSPI context. (Microsoft SQL Server, Error: 0) 。 我做了服务器和客户端电脑的软关机,它暂时工作,但它已经恢复到给Cannot generate SSPI context错误,我不知道为什么。 有什么build议么?