我使用Kerberos身份validation设置了NFSv4服务器,并且运行良好。 但是,一些用户长时间保持login状态,以致于他们在几天后不得不更新他们的门票。 如果在票证过期的时候访问一个NFS共享,例如通过守护进程访问,即使在票证被更新之后,它也变得不可访问。 共享在df -PTh被标记(deleted) 。 一般来说,它需要umount /nfs/share;mount /nfs/share来重新获得它。 在大多数情况下, -o remount失败。 虽然一般的行为是有道理的,谁能告诉我到底发生了什么,例如我不知道(deleted)状态究竟意味着什么? 而为了实际的目的:有什么办法可以避免这个份额一开始就(deleted) ? 毕竟这只是一个坏的用户 – 没有理由阻止所有其他人。 客户端是3.2.63内核上的Debian Wheezy nfs-common 1:1.2.6-4。 服务器是内核为3.2.40(DSM 4.3)的Synology NAS。 谢谢你的帮助。
我最终成功地将Apacheconfiguration为我的应用程序的SPNEGO反向代理,并使用AUTHORIZE_SAMACCOUNTNAME , AUTHORIZE_CN和AUTHORIZE_MAIL来找出有关login用户的一些信息。 但这只是第一步。 目前,我正在使用通用规则,例如Require ldap-group cn=General Group,cn=Users,dc=example,dc=com ,但是我真正需要的是多个规则,每个组都有一个规则。 即 <RequireAny> Require ldap-group cn=Regular Users,cn=Users,dc=example,dc=com Require ldap-group cn=Managers,cn=Users,dc=example,dc=com Require ldap-group cn=Admins,cn=Users,dc=example,dc=com </RequireAny> 这个configuration工作,但我需要知道哪些Require指令通过。 我的最终目标是将像X-Auth-Rule这样的自定义标题设置为不同的值,例如Regular , Manager或Admin 。 有没有办法做到这一点? ps在有人提出这个build议之前,我知道我可以从代理应用程序中获取sAMAccountName并自己查询LDAP,但是我正在寻找替代scheme。
我目前正在参与获取NFSv4和Kerberos。 我们决定咬紧牙关,尝试过渡。 我们的环境是: Windows AD 在Linux上针对所述AD进行LDAPauthentication。 RHEL5 / 6和一个很小的例外列表。 (我们的一些用户迫切需要Slackware,Debian,Centos)。 提供CIFS / NFS的NetApp文件pipe理器。 然而,我们遇到了一些棘手的问题 – 那就是根服务主体,以及如何启用NFS共享,以便那些需要root访问权限的人可以拥有它。 之所以这么说是非常令人厌烦的,是因为在RHEL 5上挂载NFS时, nfs服务主体似乎被硬编码到挂载过程中。 所以我们仍然在努力处理这个问题,因为你可能被idmapping过程绊住了。 毕竟,如果您将nfs设置为UID零,那么…当您ls您将看到nfs拥有的大量文件, nfs不是root 。 如果你没有设置一个nfs用户,那么你可能会看到许多nobody拥有的文件,尽pipe你仍然可以把它们改变。 RHEL6不那么痛苦,但是使用UID / GIDconfiguration机器帐户仍然感觉有点笨拙。 (而且你还有类似的问题 所以我想知道别人在现实世界中做了什么? 你如何处理NFS坐骑的特权委派?
我们在IIS 8.5 Windows Authentication Proxy后面运行Tomcat应用程序,redirect是通过tomcat AJP连接器。 我们现在有这样的问题,在某些客户端,身份validation失败,出现401错误,用户得到login提示,但无法进行身份validation(IE9,集成Windows身份validation启用)。 他们的用户帐户没有问题,因为在其他机器上,受影响的用户可以正常login。 我们尝试清除客户端上的Temporary Internet文件以及清除Kerberos票证存储(CMD – > klist清除),但它没有帮助。 但是,从机器上删除整个用户configuration文件有什么帮助。 用“新鲜”的用户configuration文件,问题就消失了。 任何想法可以caching在用户configuration文件,防止客户端validation成功?
需要帮助与下面的错误。 我一直没有find很多帮助。 Event Source: Security-Kerberos Event ID: 4 Qualifiers: 16384 Version: 0 Level: 2 Task: 0 Opcode: 0 Keywords: 0x80000000000000 Kerberos客户端从服务器D @@@@@ $收到KRB_AP_ERR_MODIFIED错误。 使用的目标名称是DOMAIN \ DS @@@@@ $。 这表明目标服务器无法解密客户端提供的票证。 当目标服务器主体名称(SPN)在目标服务正在使用的帐户以外的帐户上注册时,可能会发生这种情况。 请确保目标SPN仅在服务器使用的帐户上注册,并且仅在其上注册。 当目标服务对目标服务帐户使用不同于Kerberos密钥分发中心(KDC)对目标服务帐户的密码时,也会发生此错误。 请确保服务器和KDC上的服务都更新为使用当前密码。 如果服务器名称不完全合格,并且目标域(My.FQDN.ORG)与客户端域(My.FQDN.ORG)不同,请检查这两个域中是否有相同名称的服务器帐户,或使用完全合格的名称来标识服务器。 一点背景。 我们在区议会遇到随意的问题。 通常几个月后,其中一个将不再允许我们login。 如果我们在该DC上closuresKerberos,我们可以重新login,但是这导致了各种其他问题。 通常我们只是把它吹掉,然后再创造一个持续几个月的DC,但是,我需要深入了解这个问题。 随着kerberos错误,我们看到组策略错误和AD复制错误,但我的猜测是,他们是由身份validation问题引起的。 如果有人能指出我在正确的方向,将不胜感激。
我有两个Windows 2008 Active Directory林之间的信任安装。 我的域名是“local.ad”和“remote.ad”。 我所有的公司用户都属于remote.ad目录林。 我必须将“Identity Management for Unix”(IMU)angular色添加到其中一个AD服务器,以允许在Linux上进行Kerberosauthenticationlogin。 remote.ad的pipe理员无法在remote.ad上添加IMU,原因是insert_excuse_here 。 是否有可能添加IMU到我的服务器,local.ad,创build一个“克隆”[email protected],添加Unix身份validationangular色,但不知何故告诉local.ad用户的密码实际上是在remote.ad ? 我梦想的是从local.adpipe理Unix组和用户,但实际上代理身份validation/委托给remote.ad。
我们使用JBoss协商在JBoss EAP 6.2,Windows Server 2008和IE10上成功configuration了SPNEGO。 更新发给JBoss的票证以最大限度减lesspipe理员干预的最佳操作实践是什么? 票证可以通过编程方式(在票末date之前)更新: kinit -R 虽然这只能在票到达date之前完成。 是否最佳做法是configuration故障单策略以将续订字段设置为大(几周,几个月)? 最终在续订时间之后的某个时刻,pipe理员需要input一个密码来为JBoss分配一张新的票据。 是否有更好的scheme来pipe理JBoss票据的更新,或者在更新date之后的某个时间点(可能在维护期间)不可避免地需要手动pipe理员干预?
我已经做了一些关于这个话题的研究,但是我不能直接回答我的问题。 请告诉我,如果我的理解是正确的。 Kerberos可以用作Linux / Unix操作系统和Windows AD之间的桥梁。 可以在AD中设置策略(例如,用户/组“A”可以访问资源“X”和“Y”,但不能是“Z”),Kerberos会强制执行这些策略。 因此,RHEL服务器可以拥有没有密码的用户帐户(即locking帐户),但是如果AD策略指导的Kerberos说他们应该有权访问,那么这些用户仍然可以对服务器进行身份validation。 我担心的是,如果影子文件中没有密码的Linux帐户是AD域的成员,则可以被授予访问权限,但不能再访问Linux服务器。 在一个不相关的组织中,我已经绑定了一个iMac到AD,并且该域的任何成员都可以访问iMac。
你可以分享一下Kerberos密钥表是否应该只能由root读取 – 在任何情况下 ? 还是有这个规则的例外? 我正在Debian Jessie上设置一个Squid代理,以便与Active Directory进行Kerberos身份validation。 大多数文档build议为包含“HTTP”服务主体条目的Squid创build密钥表。 但是,如果我将我的系统joinActive Directory域,例如使用realmd ,则会创build一个密钥表,即/etc/krb5.keytab 。 我甚至可以确保这个密钥表包含“HTTP”服务主体的必要条目: # adcli preset-computer -D mydomain.org –service-name HOST –service-name HTTP proxy.mydomain.org # realm join mydomain.org 因此,不要为Squid创build第二个密钥表,我可以简单地将读取/etc/krb5.keytab权限给运行Squid的进程(这是Debian上的用户代理)。 我意识到,如果有任何用户,但root用户可以访问系统密钥表/etc/krb5.keytab ,则认为这是一个安全问题。 但是,如果我的服务器没有托pipe服务,但Squid代理专门为Squid创build的密钥表(例如,使用net ads keytab create && net ads keytab add HTTP )将包含或多或less与系统密钥表相同的信息。 (或者不是吗?) 那么当我这样设置时,我会跳入任何安全漏洞吗?
我试图在%pre设置samba,kerberos和sssdconfiguration之后,使用kinit和net命令join到我的kickstart脚本的%post chroot部分中的Windows域。 我的authconfig在命令部分看起来像这样,并生成适当的kerb5.conf和smb.conf authconfig –disableldap \ –disablewinbindusedefaultdomain \ –disablewinbind \ –disablewinbindauth \ –smbsecurity=ads \ –smbworkgroup="$WORKGROUP" \ –smbrealm="$DOMAIN" \ –smbservers="$PDC" \ –enablemkhomedir \ –enablekrb5 \ –enablekrb5realmdns \ –enablekrb5kdcdns \ –krb5adminserver="$PDC" \ –krb5kdc="$PDC" \ –krb5realm="$DOMAIN" \ –enablelocauthorize \ –enablepamaccess \ –nostart \ –enablesssd \ –enablesssdauth \ –kickstart \ –update 我可以获得Kerberos票证并使用klist打印。 $ echo -n "$PASS"|kinit ${USER} $ klist […]