我一直在努力Kerberize在我们的域内的某些服务,其中之一是CUPS。 设置如下:中央打印服务器连接到域中的每台打印机并共享它们,每个客户端连接到该服务器上的某些打印机。 因此,服务器和所有客户端都运行一个CUPS假脱机程序。 打印服务器上需要进行身份validation,原因很明显 – 使用基本身份validation工作(在尝试打印的客户端上显示用户名/密码对话框),但协商身份validation不会。 打印服务器有一个服务密钥表,服务名称为“主机”,客户端和服务器有适当的DNS和反向DNS条目,用于打印服务器和KDC。 获得客户的主要工作的票。 但是当我尝试打印时,出现一个文本框“Negotiating”的对话框,旁边有一个文本框。 无论在对话框中input什么内容,都会继续显示出来。 有趣的是,使用client.conf将客户端直接指向打印服务器的后台处理程序可以使用协商身份validation – 获取服务故障单并且身份validation正常进行。 但是由于每个客户都看到每台打印机,所以这并不理想 – 不同的房间想要看到他们特定的房间打印机。 谈判authentication应该如何工作? 目前我绝对不知道该去哪里。 服务器运行Ubuntu 12.04 LTS(完全更新),客户端也使用Ubuntu 12.04 LTS(不完全更新)。 客户端和服务器都运行CUPS 1.5.3。 KDC是Samba4服务器,打印服务器和客户端都正确configurationKerberos。 客户端configuration只是默认的Ubuntu版本。 当前的服务器cupsd.conf如下所示: LogLevel warn MaxLogSize 0 SystemGroup lpadmin # Allow remote access Port 631 HostNameLookups on Listen /var/run/cups/cups.sock Browsing On BrowseOrder allow,deny BrowseAllow all BrowseLocalProtocols CUPS dnssd BrowseAddress @LOCAL […]
我正在尝试使用ssh使用kerberos来实现单点login。 我改变了下面的文件并重新启动了ssh守护进程。 在/ etc / ssh_config中 GSSAPIAuthentication yes GSSAPIDelegateCredentials yes 在/ etc / sshd_config中 GSSAPIAuthentication yes 当我试图从Ubuntu机器ssh到centos。 我得到了下面的例外 Unspecified GSS failure. Minor code may provide more information Cannot contact any KDC for requested realm 但是我可以login而不使用从Centos机器到Ubuntu的密码。 Kinit在两台机器上工作正常。 这里有什么问题?
运行kvno时imap / [email protected]出现以下错误:kvno:在获取imap / [email protected]的凭据时找不到Kerberos数据库中的服务器 我展示了wireshark中的设置和步骤,以及捕获的内容,希望我能给予帮助。 我有一个Windows Server 2003与AD的IP是yyy.yyy.yyy.yyy和他的名字是win2003。 用户客户端使用Windows并安装Kerberos For Windows和Thunderbird作为邮件客户端。 我也有一个电脑与Centos 6的IP是xxx.xxx.xxx.xxx和他的名字是prueba邮件你安装Postfix +赛勒斯Imap。 如果我从CentOS 6操作正常的计算机上执行nslookup yyy.yyy.yyy.yyy。 如果我从具有Windows Server 2003的计算机上正确运行nslookup xxx.xxx.xxx.xxx。 我想从Windows客户端获得sso,所以按照以下步骤操作: 1)在AD中为每个服务(imap等)创build一个用户。 这些用户启用了“对此帐户使用DESencryptiontypes”,“不要求Kerberos预authentication”,“用户不能更改密码”,“密码永不过期”。 2)当我在Windows 2003中运行setspn -L时,显示如下: host/prueba-mail.ejemplo.org imap/prueba-mail.ejemplo.org 3)在Windows 2003中,运行以下命令: Ktpass -princ host/[email protected] -mapuser host -pass password -crypto DES-CBC-MD5 -out UNIXhost.keytab Ktpass -princ imap/[email protected] -mapuser imap -pass password -crypto DES-CBC-MD5 -out UNIXimap.keytab 4)在UNIXhost.keytab中添加UNIXimap.keytab然后我做了两个UNIXhost.keytab拷贝到/etc/krb5.keytab和/etc/krb5.keytab.cyrus同时运行chown […]
我清楚地发现了一个我无法解决的问题。 我怀疑在Windows Server 2003上设置运行在Centos 6上的服务时,我错过了一些东西。 首先,我告诉我正在工作的环境,我正在努力去做,然后是问题。 我有一个Windows Server 2003没有SP1的IP是xxx.xxx.xxx.xxx和他的名字win2003srv2.ejemplo.org。 在这个Cyrus Imap Server的团队中,我也安装了Thunderbird作为邮件客户端进行testing。 在Active Directory Windows Server 2003中添加一个名为imap的新用户,并具有: Logon Name: imap/[email protected] Logon name of user (pre-Windows 2000): EJEMPLO\imap0. 重要的是@ ejemplo.org不会放在首都,因为这个默认设置并不能在窗口中修改来创build用户。 我已经添加了imap的SPN,我有这个名单: C:\Documents and Settings\Administrador>SETSPN -L prueba-mail Registered ServicePrincipalNames for CN=prueba-mail,CN=Computers,DC=ejemplo,DC=org: imap/prueba-mail.ejemplo.org:143 imap/prueba-mail imap/prueba-mail.ejemplo.org host/prueba-mail.ejemplo.org host/prueba-mail 还要在Windows Server 2003上生成密钥表: C:\Documents and Settings\Administrador\Escritorio\TEST>Ktpass -princ imap/[email protected] -mapuser imap -pass […]
我正在使用Linux服务器来执行我的模拟。 服务器的login和文件系统使用Kerberos进行保护。 该文件系统是使用NFS支持的。 由于我的模拟需要花费大量的时间来运行,我的ssh会话常常被挂起。 所以,我开始在byobu上运行我的模拟(类似于屏幕)。 为了确保我的kerberos会话保持活动状态,我正在使用krenew命令。 我在.bash_profile文件中input了以下命令。 (我确信这是每个login都要求的) killall -9 krenew 2> /dev/null krenew -b -t -K 10 所以每次我到服务器ssh,我杀了现有的krenew命令。 然后,我产生了一个新的krenew命令-b(在后台运行),-t(我忘记了为什么我使用这个选项!)和-K 10(它必须每10分钟运行一次并刷新kerberoscaching)。 当我运行模拟,它运行了14个小时,然后突然,我正在阅读文件权限被拒绝的错误 命令,我运行不正确?
我正在学习使用openldap作为kerberos证书的后端数据库。 所有的程序都使用单一login是很好的。 问题是 – 我可以通过kadmin命令提示符pipe理用户,但是没有其他方法可以做到这一点。 问题 1.有没有第三方GUI来pipe理Kerberos数据? 2.我们可以从任何OpenLDAP客户端(如apache directory studio或ldapadmin)创build新的Kerberos主体吗?
按照文档 ,我configuration了Alfresco 4.2.c与MIT Kerberos一起工作。 由于文档仅适用于Active Directory,因此我通过阅读论坛将部分内容修改为Kerberos。 开始Alfresco,我得到这个错误: 04:01:38,725错误[org.alfresco.fileserver] CIFS服务器configuration错误,在文件[/home/alfresco/alfresco-community-4.2.c-installer-linux-x64/tomcat中定义名为'globalAuthenticationFilter' /webapps/alfresco/WEB-INF/classes/alfresco/subsystems/Authentication/kerberos/kerberos-filter-context.xml]:调用init方法失败; 嵌套exception是java.lang.SecurityException:configuration错误:没有这样的文件或目录 我没有修改kerberos-filter-context.xml 。 任何想法可能触发这个消息? 我可以发布你想要的任何configuration文件。 没有debugging信息被logging。
当我尝试使用heimdal-kdc进行身份validation时,我在kdc log中得到这个错误: (enctype aes256-cts-hmac-sha1-96) error Decrypt integrity check failed for checksum type hmac-sha1-96-aes256, key type aes256-cts-hmac-sha1-96 和身份validation失败! 但用kinitvalidation是正确的! 我的kerb5.conf是 [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log krb5 = FILE:/var/log/krb5.log [libdefaults] default_realm = AUTH.LANGHUA clockskew = 300 [realms] AUTH.LANGHUA = { kdc = AUTH.LANGHUA } [domain_realm] .langhua = AUTH.LANGHUA [kdc] 当把这行添加到krb5.conf(在kdc标签中) require-preauth = no 我得到这个错误 krb5_get_init_creds: […]
我有一个名为“AZone”的Solaris 11.1区域。 我已将该区域join到Active Directory域(Windows Server 2008),目标是用户能够使用其AD帐户login到Solaris区域。 在经历了很多头疼和kerberos,LDAP和PAM周围,我真的得到它的工作! 但是,我有一个问题,作为AD用户login有时会失败… 我在AD上设置了一个名为“jpublic”的虚拟用户。 我知道jpublic大部分时间都可以成功login到azone(我正在使用SSH)。 但是,在没有AD用户loginAZone的一段时间后,jpublic的login尝试将首次失败。 然后,如果我立即尝试以jpubliclogin,它就可以工作。 我打开了PAM日志logging,这是迄今为止我在这个问题上唯一的领先。 在授权日志中,在login失败的时候,我得到了这三条消息,接着是正常的PAM加载消息: Nov 11 10:29:02 azone sshd[2923]: [ID 800047 auth.info] Illegal user jpublic from 192.168.160.161 Nov 11 10:29:02 azone sshd[2923]: [ID 800047 auth.info] input_userauth_request: illegal user jpublic Nov 11 10:29:02 azone sshd[2923]: [ID 800047 auth.info] Failed none for <invalid username> from 192.168.160.161 port […]
我使用远程pipe理运行Mac OS X Server。 苹果使用VNC(我相信)Kerberos身份validation。 我不使用VNC密码,只是基于用户的authentication。 我需要find一个能够通过Mac OS X远程pipe理屏幕共享系统进行身份validation的VNC客户端或插件。 这意味着客户端必须使用用户authentication,而不是VNC密码。 客户还需要免费,而不是付费。 我知道Mac OS X带有一个合适的内置客户端,但是我需要一个适用于Windows和/或Linux的系统,或者在没有这种系统的情况下,可以通过某种方式将Kerberos身份validationfunction添加到某个现有客户端。 我尝试了Debian的内置系统,但不支持Kerberos。 有任何想法吗?