我有一个用户: [email protected]作为主要和下一个krb5.conf: [libdefaults] default_realm = EXEMPLE.COM default_tkt_enctypes = arcfour-hmac-md5 default_tgs_enctypes = arcfour-hmac-md5 permitted_enctypes = arcfour-hmac-md5 [realms] EXEMPLE.COM = { kdc = DC.SUBDOMAIN.EXEMPLE.COM admin_server = DC.SUBDOMAIN.EXEMPLE.COM default_domain = EXEMPLE.COM } [domain_realm] .EXEMPLE.COM = EXEMPLE.COM EXEMPLE.COM = EXEMPLE.COM kinit给我的错误“ 领域不是KDC获得初始凭据时本地 ”。 我究竟做错了什么? 有没有我可以在conf文件中做的任何设置,所以我可以使用位于子域的de DC?
我刚刚configuration了RHEL 7进行Windows身份validation(idmap_ad)。 每个检查工作,但如果我尝试与域用户ssh我得到的错误: Connection closed by ::1 以下是debugging模式下的ssh日志: Jul 22 11:16:02 SERVER sshd[7720]: Received signal 15; terminating. Jul 22 11:16:03 SERVER sshd[7897]: Set /proc/self/oom_score_adj from 0 to -1000 Jul 22 11:16:03 SERVER sshd[7897]: debug1: Bind to port 22 on 0.0.0.0. Jul 22 11:16:03 SERVER sshd[7897]: Server listening on 0.0.0.0 port 22. Jul 22 11:16:03 SERVER […]
我一直在试图将我的团队的一些数据库部署代码运行到Windows 7testing框上的SQL 2014服务器。 部分代码是从另一台服务器上的文件共享中使用BCP从文件中提取数据的过程。 当我远程桌面到服务器上,并通过SQLpipe理工作室运行程序的过程是成功的。 但是,当我从任何其他机器上的SQLpipe理工作室(或通过我们通过ADO连接的部署工具)运行该过程时,我得到: 无法批量加载,因为文件“\ … …”无法打开。 操作系统错误代码5(访问被拒绝。)。 我已经检查了“显示高级选项”和“xp_cmdshell”设置,就像我说的那样,它工作。 但只有当我login到服务器,而不是其他机器。 有人知道这可能是什么原因吗?
我想设置一个Kerberized NFSv4服务器,这样客户端不需要一个keytab来挂载一个卷(但是这样用户就像往常一样根据他们的Kerberos票据获得他们的权限)。 可能吗? 更确切地说:我的理解是,在Kerberized NFsv4的“常规”设置中,我们有三种校长。 一个用于服务器,名为nfs/[email protected] 。 每个客户端一个,名为host/[email protected] 。 每个用户名为[email protected] 。 使用客户端票据,可以挂载卷,但是无法访问任何文件,因为权限是在用户级别进行控制的。 一旦用户获得了用户票据,他们实际上可以访问这些文件,受到授予该主体的特权的支配。 它是否正确? 我想删除客户票据,基本上说,每台电脑都可以挂载音量(但当然还要有一个有效的用户票据才能访问文件)。 这可能吗? 我想这样做,因为在我的环境中有很多客户,他们经常变化。 我不想关心给所有人一个校长和一个keytab,而且必须跟踪事情。 作为一个中间人(在我的情况下只能部分满足),可以接受的是,客户仍然需要一张票,但是有一个通配符主体可以分发给所有的客户。 像host/*@EXAMPLE.COM 。 这可能吗? (据我所知,一般来说,Kerberized服务通过反向DNS查询查询客户主体与其FQDN名称相匹配;但在我的情况下,我的客户甚至可能没有反向DNSlogging)。
我使用SSO从Windows 7 PC访问基于Linux的系统。 这适用于使用login凭据访问系统的IE。 但是,当开发的office插件被域pipe理员组的任何成员使用时,它将不会进行身份validation。 access_log中有这个: [08 / Sep / 2014:11:57:48 +0100]“POST / cgi-perl / soap / soapservice HTTP / 1.1”401 4117“ – ”“Mozilla / 4.0(compatible; MSIE 6.0; MS Web Services Client Protocol 4.0 .30319.18063)” 但是,当我从域pipe理员组中删除我的自己并重新login时,插件工作全部通过身份validation。 有任何想法吗??
我几乎得到了saslauthd检查Kerberos,但在CentOS 7上看到最后一些问题。当postfix与saslauthd交谈时,它发送一个小写域,它不会被更正。 我试图修复/etc/krb5.conf使用[domain_realms]但没有工作。 testsaslauthd正常工作,和kinit一样。 saslfinger – postfix Cyrus sasl configuration Mon Oct 13 02:09:37 EDT 2014 version: 1.0.2 mode: server-side SMTP AUTH — basics — Postfix: 2.10.1 System: CentOS Linux release 7.0.1406 (Core) — smtpd is linked to — libsasl2.so.3 => /lib64/libsasl2.so.3 (0x00007fb849a49000) — active SMTP AUTH and TLS parameters for smtpd — broken_sasl_auth_clients = […]
我需要在Windows上的Apache中安装Kerberos模块。 我已经将文件auth_kerb_mod.so复制到apache / modules /中,并使用LoadModule auth_kerb_module modules / auth_kerb_mod.so修改了conf / httpd.conf 但是我无法启动Apache服务。 Apache找不到Kerberos模块。 你可以帮我吗 ?
我正在使用pwauth和mod_auth_external在Apache上使用Kerberos身份validation进行基本身份validation。 我想添加多个服务器进行身份validation,但是他们必须指定其他服务器类似于login到一个窗口的计算机。 如果它是默认的服务器,那么他们不必指定一个域名。 我将如何去完成这个? 谢谢! 例: default-server.local有user1。 other-server.local有user2。 user1可以通过简单的绑定user1 / pass来login到apache的Basic Auth。 但是,对于用户2,他们将不得不键入other-server.local \ user2这将允许身份validation。 这对于打入require user .htaccess的require user来说又是如何工作的?
是否可以设置NFSv4 + Kerberos来执行基于用户的身份validation? 据我所知,你需要在Kerberos服务器上为客户端机器创build一个主体(即它仍然是基于主机的),这需要pipe理员访问KDC。 在我的情况下,我有一个工作的Kerberos环境,我只能获得用户的票据,并且没有pipe理员权限。 所以这个问题非常多 – 我能不能让NFSv4使用Kerberos身份validation? 我的NFSv4服务器和客户端运行CentOS 5,我不知道Kerberos端是什么。 我的问题可能不清楚,我还是个新手。
在CRM运行报表时,我在CRM负载平衡实时环境中随机获取此exception。 System.ServiceModel.Security.SecurityNegotiationException:对SSPI的调用失败,请参阅内部exception。 System.Security.Authentication.AuthenticationException:对SSPI的调用失败,请参阅内部exception.System.ComponentModel.Win32Exception:目标主体名称不正确 所以我的下一步是更新运行其服务的SSRS和CRM域帐户的SPN。 在一个环境中: 2个CRM服务器: live-srv-crm01 ; live-srv-crm02 live-srv-crm01 ; live-srv-crm02 2个SSRS服务器: live-srv-ssrs01 ; live-srv-ssrs02 live-srv-ssrs01 ; live-srv-ssrs02 FQDN的服务器遵循以下语法: live-srv-crm01.companyname.azure 对于在任何SRSS服务器中运行Reporting Services服务的域帐户,我没有任何SPN设置。 运行CRM应用程序池的帐户的我的SPN是: http/live-srv-crm01.companyname.com http/live-srv-crm01 http/internalcrm.companyname.com http/internalcrm 对于运行Reporting Services服务的每个域帐户,将针对此设置进行SPN疑难解答吗? http/live-srv-ssrs01 http/live-srv-ssrs01.companyname.azure和 http/live-srv-ssrs02 http/live-srv-ssrs02.companyname.azure 或者我需要更新运行CRM应用程序池的域帐户的SPN? http/live-srv-crm-01.companyname.azure http/live-srv-crm02 http/live-srv-crm02.companyname.azure 要testing执行步骤1是否有效,是否需要iisreset ?