我有一个客户端拥有的服务器上安装的asp.net网站。 现在,由于使用MobileIron在移动设备上进行单点loginfunction,客户端要求我的站点使用Kerberos身份validation。 Web服务器是IIS 7.5。 客户端已经在IIS中设置了Kerberos,但不知何故,这似乎不起作用。 在计算机上进行testing时,我可以看到Fiddlerauthentication使用NTLM。 据我可以看到一切都设置正确的IIS(我用这个网站来validation设置:)。 启用Kerberos的事件查看器日志logging,给我以下错误: A Kerberos Error Message was received: on logon session Client Time: Server Time: 14:23:14.0000 12/19/2013 Z Error Code: 0x1b Unknown Error Extended Error: Client Realm: Client Name: Server Realm: [CLIENT].LOCAL Server Name: [user]@[CLIENT].LOCAL Target Name: [user]@[CLIENT].LOCAL@[CLIENT].LOCAL Error Text: File: 9 Line: f09 Error Data is in record […]
到目前为止,我一直在使用kadmin.local进行kerberos的大部分pipe理工作,但是,我正试图迁移到使用远程kadmin因为这将是更好的练习和所有。 我所看到的是这样的: esr@cpt2:~$ kadmin -p 'esr/admin' Authenticating as principal esr/admin with password. Password for esr/[email protected]: esr@cpt2:~$ 即login发生完美,但连接立即closures。 在服务器端: Jan 08 12:51:02 00-kdc krb5kdc[9729](info): AS_REQ (4 etypes {18 17 16 23}) XXXX: NEEDED_PREAUTH: esr/[email protected] for kadmin/[email protected], Additional pre-authentication required Jan 08 12:51:05 00-kdc krb5kdc[9729](info): AS_REQ (4 etypes {18 17 16 23}) XXXX: ISSUE: authtime 1389207065, etypes […]
我有一台Samba 4 AD,第二台作为客户端。 经过两天的良好运作, kinit突然停止在客户端工作。 原因很神秘。 它无法parsing服务器的名称。 它从SRV获取logging名称bolbro.barbucha.local ,但是不能parsing它的IP。 $ KRB5_TRACE=/dev/stdout kinit test [4841] 1389479680.105645: Getting initial credentials for [email protected] [4841] 1389479680.106009: Sending request (172 bytes) to BARBUCHA.LOCAL [4841] 1389479680.115312: Resolving hostname bolbro.barbucha.local. [4841] 1389479690.122000: Resolving hostname bolbro.barbucha.local. kinit: Cannot contact any KDC for realm 'BARBUCHA.LOCAL' while getting initial credentials 但是,如果我更改/etc/krb5.conf文件的内容而不更改服务器端上的任何内容: [libdefaults] default_realm = BARBUCHA.LOCAL […]
我们有一个IIS和一个SQL服务器的设置,并已经实现了Kerberos来直接使用SQL Sercurity。 我们有一个AD森林:Internal.local和设置在那里工作正常。 现在客户需要通过external.com进行外部访问,当然我们也不能使用当前的Kerberos设置。 在内部,我们可以访问internal.local – 获取kerberos票 – 访问external.com并继续使用该票。 但有没有一种解决scheme让Kerberos为external.com访问工作? 我想我们必须相信两个不知何故?
如果NTLM身份validation助手是AD组的成员,则该身份validation助手只能将其标记为授权用户。 Kerberos身份validation帮助程序将用户标记为授权用户(如果他能够login),Kerberos助手无法完成组检查,所以我需要一个外部ACL程序,通过LDAP检查是否允许此用户使用乌贼。 我必须只允许通过NTLM直接授权的用户,外部LDAP检查成功后,允许Kerberos授权用户使用。 Kerberos用户显示为sAMAccountName @ REALM,例如“[email protected]” NTLM用户显示为sAMAccountName,例如“user” 我有这个ACL: # External ACL helper returns OK (User is in given LDAP group) acl ldap_group_check external squid_kerb_ldap # Username contains character '@' acl kerberos_without_ldap_auth proxy_auth_regex (@) 而这个规则: # Default: Kerberos + LDAP group check http_access allow ldap_group_check # Fallback: NTLM http_access allow !kerberos_without_ldap_auth 在这里,我的问题是:规则是什么 http_access allow !kerberos_without_ldap_auth 意思? […]
我需要使用三个不同的SPN从Active Directory创build一个Kerberos密钥表文件。 添加不同的SPN是没问题的 setspn -a 但是当我尝试创build一个keytab文件 ktpass 只有给定的SPN将被保存到密钥表文件中。 如何将所有SPN映射到AD帐户创build密钥表文件?
情况是一个单独的组创build了一个LDAP域。 我们将它称为foo.bar。 (其中没有一个以任何方式连接到互联网)他们也有一个Windows域,并将其重命名为foo.bar,换句话说,他们可以将两者连接起来,以便将来成为一个域。 在这一点上我迷路了,因为我对RHEL上的LDAP不够了解。 在AD我知道,你不能只连接两个相同的名称域,并期望它的工作,因为它们是独立的实体。 我介入是因为他们想要包含我pipe理的networking(一个名为good.bar的AD域) 有人可以证实,也许提供一个为什么这不起作用的参考,是一个非常糟糕的主意?
我在这里问这个问题是因为我认为我在这里比在Ask Different中更容易findSMB / Kerberos专家,这似乎主要与OSX客户端问题有关。 当我第一次连接到我们的SMB共享时,Finder在获取共享的根文件夹时似乎locking了30秒。 首先浏览共享速度非常缓慢 – 打开每个文件夹大约需要30秒。 在系统日志中,我多次看到这个消息: Apr 9 15:14:37 teds-mac-mini.teradici.local NetAuthSysAgent[2139]: smb_mount: mount failed to teradici.local/data, syserr = Permission denied Apr 9 15:14:39 teds-mac-mini.teradici.local NetAuthSysAgent[2139]: NAHSelectionAcquireCredential The operation couldn't be completed. (com.apple.NetworkAuthenticationHelper error -1765328228 – acquire_kerberos failed tmiddleton@LOCAL: -1765328228 – unable to reach any KDC in realm LOCAL, tried 0 KDCs) Apr […]
目前,我们可以让Kerberosvalidation处于活动目录(AD)中的用户,并将其添加到ldap创build的networking组中。 我们还设置了它们的unix属性并将它们添加到networking组中。 如果我们可以使用实际的AD组,IT将会变得更加容易。 这是可能吗?
我有两个使用相同的LDAP / Kerberos服务器的Debian服务器,但在他们的klist的输出date以不同的格式显示 – mm / dd / yyyy挤压和dd / mm / yy在wheezy上。 看起来他们只是使用不同的定位设置为短date格式,虽然两个服务器上的区域设置是相同的。 有没有办法将klist报告的date更改为与squeeze相同的格式? 区域设置 – 挤压 user@squeeze:~ > locale -a C en_US.utf8 POSIX user@squeeze:~ > locale -ck LC_TIME LC_TIME abday="Sun;Mon;Tue;Wed;Thu;Fri;Sat" day="Sunday;Monday;Tuesday;Wednesday;Thursday;Friday;Saturday" abmon="Jan;Feb;Mar;Apr;May;Jun;Jul;Aug;Sep;Oct;Nov;Dec" mon="January;February;March;April;May;June;July;August;September;October;November;December" am_pm="AM;PM" d_t_fmt="%a %d %b %Y %r %Z" d_fmt="%m/%d/%Y" t_fmt="%r" t_fmt_ampm="%I:%M:%S %p" era= era_year="" era_d_fmt="" alt_digits= era_d_t_fmt="" era_t_fmt="" time-era-num-entries=0 time-era-entries="S" week-ndays=7 […]