我有一个运行在Windows Server 2012上的KDC Active Directory。 目前,每个用户都可以向TGS请求每个服务的服务票据。 我正在寻找一个解决scheme,如果用户在Y组或类似的东西,KDC只授予服务X的服务票据。 Active Directory有可能吗?
我已经按照这个链接https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto 似乎一切似乎configuration有点正确,net rpcjoin工作,领域进入命令“领域列表”时列出但我仍然收到错误,当试图networking广告join kinit作品,并给我一张klist显示的票。 wbinfo -g不提供输出。 wbinfo -a user%pass给出: plaintext password authentication succeeded challenge/response password authentication failed Could not authenticate user jball with challenge response sudo net ads testjoin -S domain.dc.com -U username -d 3返回一堆错误,如failed to resolve _ldap._tcp….. (Success)和Failed to send DNS query (NT_STATUS_UNSUCCESSFUL) 。 它成功地联系了LDAP服务器,但是以错误信息告终 kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials Join to […]
我在我的工作环境中设置了Kerberos,运行在Centos 6盒子上,并成功地将主服务器数据库传播给了从服务器,并且还设置了一个cron作业,每5分钟自动更新一次。 我想知道是否有一种方法来自动化主人切换到奴隶的过程中,如果主人意外地下降? 我能find的唯一信息是不得不手动切换两台服务器的CNAME。
我正在寻找并尝试几个星期。 我到目前为止所做的:我使用ldap使用sssd进行身份validation。 这工作真的很棒! 我们需要通过使用ldap的sssd进行身份validation,因为AD是深嵌套的。 任何其他身份validation方法都需要很长时间才能login用户。 现在我们需要在Kerberos的情况下进行身份validation。 因此,“kinit”和input我的密码就足够了。 但是:我们会感激用户友好的login(Single Sign-On),所以我们需要构build一个自动的kinit进程。 凭证总是一样的(对于kerberos,ldap …) 作为操作系统,我们使用的Ubuntu 14.04,LDAP / AD也许是一个Windows Server 2008 R2,这是我们无法访问。 感谢您的想法!
我使用Ansiblepipe理一组Windows服务器,我的控制机器运行CentOS 7.1。 我已经build立了我的/etc/krb5.conf文件来validation域控制器,所以我可以使用一个域帐户来validation我的所有主机。 这工作正常 – 只要我手动运行kinit [email protected]第一。 问题是,一旦我重新启动我的控制机器,Kerberos票证过期,并且任何试图运行Ansible针对Windows服务器导致标准的“没有Kerberos凭据”错误,直到我再次运行kinit 。 是否有build议的做法: 在系统重启的情况下持久保存Kerberos票据 在启动时对特定域进行身份validation? 编辑:这是我的(修改)输出到realm discover : [root@server ~]# realm discover my.domain.com type: kerberos realm-name: MY.DOMAIN.COM domain-name: my.domain.com configured: kerberos-member server-software: active-directory client-software: sssd required-package: oddjob required-package: oddjob-mkhomedir required-package: sssd required-package: adcli required-package: samba-common login-formats: %[email protected] login-policy: allow-realm-logins
我需要在现有的AD环境中使用Kerberos身份validation来部署NFSv4,但是,必须在不对KDC进行任何更改的情况下完成此操作。 所以我想,我需要重用主机凭据来validation服务器。 但是,它似乎并没有工作,我只是不明白为什么。 我正在使用CentOS 6.我们一直在使用Kerberos + LDAP和许多其他服务(通过PAM,OpenAFS,SSH)。 为了简单起见,同一台机器现在扮演客户端和服务器的angular色。 所以我的configuration如下所示: 的/ etc / SYSCONFIG / NFS: SECURE_NFS="yes" RPCGSSDARGS="-vvvvvvv" RPCSVCGSSDARGS="-n -vvvvv -rrrrr -iiiiii" 这里的重要部分是传递给rpc.svcgssd的“-n”选项(从手册页:“使用系统默认凭证(主机/ FQDN @ REALM)而不是默认的nfs / FQDN @ REALM”)。 在/etc/idmapd.conf中我得到: [General] Verbosity = 3 Domain = mycompany.com [Mapping] Nobody-User = nobody Nobody-Group = nobody [Translation] Method = nsswitch 在/etc/krb5.conf中我得到: [libdefaults] default_realm = MYCOMPANY.COM ticket_lifetime = […]
当用户更改其OD密码(在OS Xlogin屏幕或系统首选项)时,我遇到了50多个工作站(10.9和10.10)的问题。 密码更改服务器上的更新,但是如果用户没有立即重新启动他们的工作站(以及他们有一个用户帐户的每个工作站),在接下来的几个小时内,工作站将通过几十个身份validation尝试一个不正确的密码(或Kerberos票据,似乎),即使他们从机器注销。 当然这会达到最大的失败尝试,并有效地locking用户。 如果他们重新启动他们有一个用户帐户的每个工作站(移动用户或只是以前login到该计算机的常规networking用户),这不会发生。 当然,这导致我们假设某种密码(或票)的caching正在发生,但在哪里,什么? 有没有解决方法? 更新: 我相信我已经把authentication的尝试追溯到KCM。 看似随机的KCM每隔几分钟(实际上每137秒)开始运行一次,最初几次返回“Success”(在accountpolicy.log中),然后开始返回“Failed Authentication Policy”。 在此特定实例中,“成功”响应的数量等于允许的失败login尝试次数。 然后出现“失败的身份validation策略”响应。 所以它似乎相关。 我需要再次发生失败。 所以我现在的问题是: 是什么使KCM开始运行(12小时以上,有些情况下还没有运行)? 为什么KCM触发locking?
使用Open Directory(从10.8)升级到OS X 10.10客户端和服务器后,我们得到了一个有趣的新问题。 当用户更改密码时(使用系统偏好设置或在login屏幕上),似乎Kerberos凭据不刷新/刷新/更新。 所以,当它们到期时,试图更新它们(10小时后)触发我们的最大失败尝试限制并locking用户。 我可以看到, kcm守护进程是10小时后运行的,最终导致了locking。 我可以看到使用klist密码更改不会更新凭据。 此外,caching的凭据(在7天的窗口内)似乎导致用户使用的任何机器(我们的用户移动很多)。 所以这不仅仅是在密码改变的机器上发出kdestroy的问题。 任何想法发生了什么? 为什么OD能够在目录中的所有机器上同步所有内容? 我只需要禁用凭证caching? 这在10.9之前是不是一个问题?
我追溯了一直困扰着我们的“简单”问题: Kerberos票据不与OS X Open Directory密码更改同步。 另一种方法来说明: 过期/过期票证更新请求正在使用旧密钥签署,直到机器重新启动。 我怎样才能让这些重新同步?
我已经使用Samba和net ads join -kjoin了Active Directory的CentOS 6服务器。 因此它有一个像这样的keytab: Keytab name: FILE:/etc/krb5.keytab KVNO Principal —- ————————————————————————– 1 host/[email protected] 1 host/[email protected] 1 host/[email protected] 1 host/[email protected] 1 host/[email protected] 1 host/[email protected] 1 host/[email protected] 1 host/[email protected] 1 host/[email protected] 1 host/[email protected] 1 [email protected] 1 [email protected] 1 [email protected] 1 [email protected] 1 [email protected] 使用OpenSSH和pam_krb5,当反向DNS查找是myhost.ad.example.com时,我也可以使用GSSAPI进行身份validation。 到现在为止还挺好。 现在,事情是,由于各种原因,我想反向DNS查找服务器是myhost.example.org。 这甚至有可能吗? “host / [email protected]”应该是一个完全有效的Kerberos主体,但是如果我尝试在Active Directory中添加myhost.example.org作为服务主体名称,则net ads join -k失败,未能设置机器spn:约束违规“。 […]