我想得到一些帮助,以清除我的想法Kerberosauthentication。 我混淆了kerberosauthenticationstream程。 我的系统中有三个节点。 (PS)物理服务器(既不安装krb5工作站也不安装krb5-lib ) (KC)KDC客户端(使用此configuration) (KS)KDC服务器(configuration此 ) 在KC上 ,我已经为sshd启用了GSSAPIAuthentication 。 # GSSAPI options GSSAPIAuthentication yes 但是,我期待通过SSHlogin从PS到KC没有任何密码提示,但相反,我得到PS错误。 debug1: Unspecified GSS failure. Minor code may provide more information No Kerberos credentials available (default cache: KEYRING:persistent:1000) 我的问题是, 我是否缺lessconfiguration或kerberos身份validation不适用于非KDC客户端( PS )?
我正在尝试整合Linux的盒子与Windows AD和kinit是失败的错误:“kinit:KDC答复不符合期望,而获得初始凭据”我没有得到任何解决scheme。 任何帮助将非常感激。 以下是我的krb5.conf文件 – [root@client1 ~]# cat /etc/krb5.conf # Configuration snippets may be placed in this directory as well includedir /etc/krb5.conf.d/ [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] dns_lookup_realm = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true dns_lookup_kdc = true rdns = false default_realm = EXAMPLE.COM default_ccache_name […]
我有Web应用程序,使用Kerberos来validationApache客户端。 我们的许多用户都经过了正确的身份validation,但有些用户无法进行身份validation 可能的原因是无效的kerberos标记,它被os函数acceptSecurityContext拒绝。 有什么方法可以详细说明,查看和操纵Kerberos令牌吗? 我听说实用程序ktutil,我想知道它是什么,什么是常见的用例。
我正在尝试使用cloud-config.yml定义一个systemd挂载,以便cloud-config.yml在启动时挂载一个kerberized文件系统。 文件系统提供者已经把我使用cloud-config.yml write_files部分写入/etc文件夹的krb5.conf和krb5.keytab交给我了。 这是我的安装规范: – name: mnt-backup.mount enable: true content: | [Mount] What=vid52590.nas1.lan:/vid52590 Where=/mnt/backup Options=sec=krb5 Type=nfs [Install] WantedBy=multi-user.target 当系统尝试挂载nfs文件系统时,我通过journalctl得到以下消息: Sep 12 16:30:40 backend systemd[1]: Mounting /mnt/backup… Sep 12 16:30:40 backend systemd[1]: mnt-backup.mount: Mount process exited, code=exited status=32 Sep 12 16:30:40 backend systemd[1]: Failed to mount /mnt/backup. Sep 12 16:30:40 backend systemd[1]: mnt-backup.mount: Unit entered failed […]
在我们的老DC之一,我们看到事件4776每10分钟logging两次。 这台服务器在一年前被降级,所以我甚至不知道为什么Kerberos请求会去。 我已经通过域的DNS,所有的Kerberos条目都设置为当前的数据中心。 事件日志中列出的帐户是一个旧的域pipe理员帐户。 所有这一切,我正在寻找一种方式来追踪他们的身份validation尝试源于。 有任何想法吗? 事件信息: The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: [domain account] Source Workstation: LUCIANO Error Code: 0xC0000064
尝试使用PowerShell New-PSSession命令连接到远程服务器时遇到问题。 我使用的命令是: New-PSSession -ComputerName $MachineName -Credential $VmCred -Authentication Negotiate 其中$MachineName是远程服务器的主机名(而不是FQDN)(即“myserver”), $VmCred是我之前创build的凭证对象。 目标服务器是干净的安装,没有join域。 除了启用防火墙规则允许WinRM之外,安装后没有更改。 如果我在Windows Server 2012 R2(使用PowerShell 4)中的会话中运行PS-Command,而我是一个拥有高权限的pipe理员(但不是域pipe理员),则可以连接。 所以我知道,这在远程系统上不是问题,而是在本地系统上。 我的本地系统是使用PowerShell 5的Windows 7。在这里,我有我的常规非pipe理用户和本地pipe理员。 两者都是域帐户。 另外,在具有PowerShell 4和非Admin用户的Windows Server 2012 R2上,错误也是一样的。 如果我尝试在Windows 7上执行上面的命令,则会出现此错误(对不起,某些部分是德语): New-PSSession : [MyServer] Connecting to remote server MyServer failed with the following error message : Der WinRM-Client kann die Anforderung nicht verarbeiten. Derzeit ist […]
我有一个SSIS工作,我需要通过SSH激活。 SSH服务是BitVise。 我能够使用我的Unix主机上生成的密钥进行连接。 我在我的Unix主机上运行以下脚本: #!/usr/bin/env bash # expects host configuration in ~/.ssh/config # Host ssis-test # HostName SSISTEST # User WINDOWSUSER # Port 22 # IdentityFile /home/foo/.ssh/ssis_dsa # PasswordAuthentication no # ssh ssis-test "D:\\Airflow\\run-ssis.bat" 。 。 。 它只是在Windows主机上调用一个脚本。 然后我看到以下错误: Microsoft (R) SQL Server Execute Package Utility Version 12.0.4100.1 for 64-bit Copyright (C) Microsoft Corporation. All […]
我有一个内部活动目录下的Kerberos身份validation的Apacheconfiguration: <Location /login/sso> AuthType Kerberos KrbAuthRealms the.active.directory KrbServiceName HTTP/tthe.active.directory Krb5Keytab /etc/apache2/the.active.directory.keytab KrbMethodNegotiate on KrbMethodK5Passwd off require valid-user </Location> 但是,我不希望身份validation发生在用户从networking外部进行连接时,因为它不在活动目录中,而是应该显示替代页面而没有其他交互。 我可以使用以下方法实现替代页面: ErrorDocument 401 "<html><meta http-equiv=\"refresh\" content=\"0;url=/login\alternative"></html>" 但是,要将用户redirect到另一个页面,在Chrome浏览器中访问该URL时会出现用户名/密码对话框。 如果客户端IP来自内部networking(本例中为10.0.0.0),如果不是,可以将Apacheconfiguration更改为只使用此位置指令,如果不是,请将该位置redirect到另一个URL? 或者,如果有一个configuration更改,我可以做,以防止在Chrome浏览器的popup,也将是有用的。
我用CentOS把我的Centos Boxjoin了一个Windows Active Directory域 realm join –user=DomUser dom2.local 没有任何问题。 该域与Dom1具有单向的信任关系。 我们的Windows用户可以: 用Dom1 /用户login到Dom1 /主机 用Dom1 /用户login到Dom2 /主机 用Dom2 /用户login到Dom2 /主机 在我们的Linux Box(Dom2)中,只有Dom2 /用户可以login。我在网上发现了一些证据,sssd可以configuration两个域名,所以我在sssd config中添加了一个Block: # cat /etc/sssd/sssd.conf [sssd] domains = dom1.local, dom2.local config_file_version = 2 services = nss, pam [domain/dom1.local] ad_domain = dom1.local krb5_realm = DOM1.LOCAL realmd_tags = manages-system joined-with-samba cache_credentials = True id_provider = […]
你好,我刚刚完成与Dovecot + Postfix + Saslauthd设置FreeIPA。 我可以通过dovecot使用imap轻松访问邮件,使用gssapiauthentication,而且postfix也可以很好地发送邮件。 但我不能发送邮件从后缀使用gssapi身份validation(普通和login身份validation工作正常),因为saslauthd从freeipa域请求服务时不指定领域。 警告:SASL身份validation失败:GSSAPI错误:未指定的GSS失败。 次代码可以提供更多的信息(没有find匹配smtp / mx0.aegisnet.eu @的键表项) 正确的请求forms是smtp / [email protected] 我GOOGLE了很多,但无法find任何解决scheme来解决这个问题。 如何configurationsaslauthd,它将使用领域与freeipa联系。 最好的祝福…