我们的黑莓服务器遇到问题(EWSTest在自动发现查找时失败),我正在运行Wireshark的数据包捕获,试图诊断问题。 有一个用Kerberos(RC4-HMAC)encryption的对话,我想阅读。 经过一番研究,我发现keytab是必要的。 我读了使用ktpass生成密钥表,但我只能这样做的用户帐户。 由于AP-REQ没有用户名,看起来服务器(而不是用户)是请求请求客户端的客户端。 我不知道如何创build一个服务器的密钥表,因为我不知道该input什么电脑的密码。 (并且恐怕无意中重置了电脑的密码) 任何build议如何生成一个计算机对象的密钥表,而不会破坏任何东西? (不,我们没有实验室环境)
我有一台客户端Linux(Fedora 16)PC,我想用它来访问NFS共享。 运行命令 mount -v -t nfs4 -o sec=krb5 server.company.com:/home/share/username /media/nfs 结果是 access denied by server while mounting server.company.com:/home/share/username 这个错误信息并不是特别有用,因为当出现错误时(这使得Google的大部分search结果与此无关),它似乎是某种捕获所有响应的方式。 许多与Kerberos和NFS相关的文档都涉及一个keytab文件,它似乎只适用于具有固定主机名或IP地址的客户端。 另外,如果我对keytab文件的理解是正确的,那么只有在不input任何用户名或密码的情况下才能连接到受保护的资源,而且我很高兴每次需要装入资源时进行身份validation。 我的客户端只是一个简单的Fedora 16安装,在networking上没有特殊的权限。 我也没有托pipeNFS共享服务器上的任何pipe理权限,所以我看不到任何服务器设置或日志文件。 我确实拥有Kerberos证书,而且我可以用kinit成功获得Kerberos证书。 我知道我的凭据是正确的,因为我可以运行kinit。 我知道这个共享是存在的,因为我可以用一个像Filezilla这样的应用程序将它存入SFTP中。 那么我用mount命令丢失了什么?
(Debian Squeeze)我有Apache通过Kerberos进行身份validation – 工作正常。 现在我想限制网站只有一个组,所以我需要添加LDAP授权。 我启用了authnz_ldap并编辑了apacheconfiguration。 当我使用“Require ldap-group”指令时,在apache错误日志中出现以下错误: gss_display_name() failed: A required input parameter could not be read: An invalid name was supplied (, Unknown error) apache.conf中的configuration是: <Directory /var/www/kerberos> AuthType Kerberos AuthName "Kerberos Login" KrbMethodNegotiate On KrbMethodK5Passwd On KrbAuthRealms MYDOMAIN.LOCAL Krb5KeyTab /etc/krb5.keytab KrbServiceName HTTP/[email protected] AuthLDAPURL "ldap://primarydc.mydomain.local/DC=mydomain,DC=local?sAMAccountName?sub?(objectClass=*)" AuthLDAPBindDN "[email protected]" AuthLDAPBindPassword topsecretpassword Require ldap-group CN=Mygroup,OU=mydomain,DC=local </Directory> 我已经尝试添加“KrbLocalUserMapping […]
由于最近的员工姓名发生变化,我们有一种情况,ASP.NET Web应用程序的HttpContext.Current.User.Identity.Name属性parsing为旧用户名。 这里已经详细讨论了这里 , 在这里和这里 。 重置LsaLookupSids函数的LsaLookupCacheMaxSize为零将显然解决此问题。 对我们来说奇怪的是,在我们拥有的许多Web应用程序(所有Intranet – Windows身份validation – IIS 7.5 – ASP.NET)中,拒绝访问最近重命名的员工的唯一方法是协商提供程序位于NTLM之上IIS Windowsvalidation提供程序列表。 NTLM顶部的网站没有这个问题。 我的问题是: NTLM绕过Web服务器上的LSA SIDcaching并直接与域控制器进行身份validation?
我正尝试通过Kerberos for Firefox启用代理身份validation。 设置是: 活动目录域(LDAP和Kerberos;这个工作,我可以login计算机,并获得Kerberos票没有问题) Microsoft Windows见证计算机(Firefox运行正常,没有票证问题) 使用Firefox的CentOS 6.3系统(这些testing是在CentOS软件包储存库中find的10.0.1 ESR和从Mozilla网站下载的15.0.1) 已启用Kerberos身份validation的BlueCoat代理 目前,Firefox请求网站元素,从代理获取“407代理身份validation必需”的HTTP错误代码,从代理域获取票证授予服务(TGS),然后再次执行请求,同时通过票。 交易运行良好。 但是,当请求更多元素(并行)时,Firefox会为每个代理连接请求一个票据。 这需要很多DNS查询,Kerberos与域控制器的交互,并花费大量的时间(例如,Adobe的主页需要花费几分钟的时间才能加载,最后我有大约30个有效的Kerberos票据)。 我一直坚持这一点,帮助将不胜感激。 次要信息:CentOS操作系统是使用VMware Player 3.1.3虚拟化的,但是我不认为这会是一个改变游戏规则的游戏。 编辑(2012年9月26日) 我试图限制Firefox只有一个代理连接。 这部分解决了这个问题,因为有更多的票据重用,但是由于一旦没有更多数据可以接收,Firefox会closures连接,所以仍然需要在活动恢复时重新申请票据。 这仍然不能解决潜在的问题。 可能的解释可能是: 不同系统的Kerberos库不提供相同的function(我可以提供安装在系统上的yum软件包列表) 在Linux上的Firefox错误(我想听听有人将Linux和Firefox与Microsoft Active Directory完全集成在一起),尽pipe看起来不可能 Kerberos库与一些SELinux规则(SELinux在强制模式下启用)不兼容,这将阻止浏览器在凭证caching中读取自己的票据,尽pipe它可以_write_它们。 帮助赞赏!
我想我把这张贴在错误的“姊妹网站”上,所以在这里。 我在使Kerberos(Heimdal版本)与OpenLDAP很好地协作方面遇到了一些麻烦。 kerberos数据库被存储在LDAP本身中。 KDC以root身份使用SASL EXTERNAL身份validation来访问容器ou。 我使用kadmin -l在LDAP中创build了数据库,但是它不会让我在没有-l标志的情况下使用kadmin: root@rds0:~# kadmin -l kadmin> list * krbtgt/REALM kadmin/changepw kadmin/admin changepw/kerberos kadmin/hprop WELLKNOWN/ANONYMOUS WELLKNOWN/org.h5l.fast-cookie@WELLKNOWN:ORG.H5L default brian.empson brian.empson/admin host/rds0.example.net ldap/rds0.example.net host/localhost kadmin> exit root@rds0:~# kadmin kadmin> list * brian.empson/admin@REALM's Password: <—– With right password kadmin: kadm5_get_principals: Key table entry not found kadmin> list * brian.empson/admin@REALM's Password: <—— With wrong password […]
我有一个IIS Web应用程序与Windows身份validation和模拟。 此应用程序连接到SQL服务器。 在这种情况下,Kerberos工作正常。 但有一个问题。 Web应用程序运行Windows应用程序(COM),它也连接到SQL服务器。 Windows应用程序使用IIS应用程序用户凭据运行,并模拟当前站点用户连接到SQL服务器。 计划: http : //i.stack.imgur.com/2cgv7.png 当为IIS用户委派设置为“信任这台计算机委派任何服务”一切工作正常。 但是根据安全要求,我不能使用这种授权。 当我将代表团设置为“特定服务”并selectMSSQLSvc SPN时,来自Windows应用程序的连接失败,出现“ANONIMOUS”错误。 WireShark显示“KRB5KDC_ERR_BADOPTION”数据包。 我做错了什么?
如何将MIT Kerberos 5凭证cachingtypes设置为“DIR:”? 请参阅http://web.mit.edu/kerberos/krb5-1.10/上的发行说明 “1.10中的重大更改:添加DIR凭据cachingtypes,该types可以保存凭证caching集合。” 不幸的是,我找不到有关如何configuration凭据cachingtypes的任何文档。
我在运行CentOS 6的Linux机器(称为本地主机,我连接的AD计算机是dc.companyname.com)上设置Samba,除了当我input wbinfo -u 它显示一个本地用户, LOCALHOST + [用户名] ,还有一个域用户[用户名] 。 奇怪的是,当我做猫/ etc / passwd ,它不显示本地用户帐户… 我遇到的问题是我希望Samba在本地用户之前首先对AD服务器进行身份validation,因此我设置了/etc/nsswitch.conf passwd: winbind files shadow: winbind files group: winbind files 但是我认为这不是正确的做法吗? 因为如果Active Directory DC中有“root”用户,我可能会locking根访问权限。 任何想法,为什么发生这种情况? 我也尝试删除/ var / lib / samba中的sambacaching,并重新启动服务器,但LOCALHOST + [用户名]仍显示出于某种原因… 如果我可以删除该用户,我可以做 passwd: files winbind, etc 这是正确的方法。 任何帮助非常感谢!
我在Redmine上开发了一个插件,用于在接受Kerberos票据时使用Apache给出的REMOTE_USER自动login用户。 只要用户有企业login,这个插件就可以工作,但是一些开发人员可能来自其他开发公司,所以他们会使用本地的Redmine账户。 如果外部用户连接到平台,他将永远不会访问,因为Apache不会尝试再次loginKerberos。 第一个转向是复制没有Kerberos的Redmine实例,所以标准的Redmine的login页面处理了authentication。 这个解决scheme的工作,但“黑客”看看它是什么运行,我想避免这一点…对于这个问题,我分叉的Perl脚本Redmine SVNauthentication给予,并调整它做一个基于Redmine本地数据库。 一旦允许使用REMOTE_USER进入,我的红矿插件让他进入。 我仍然有两个相同的软件与两个不同的url,我不喜欢所以我正在寻找一个Kerberos身份validation本地身份validation回退在Apache上的实例。 我在互联网上发现,在这里我可以使用关键字AuthnProviderAlias或AuthBasicProvider。 看来我可以指定Kerberos,但不是我的“自定义”Perl脚本… 有没有人有一个想法? 一个我看不懂的页面?