在DNS域中 domain.local. 有两台机器 host.domain.local. = 192.168.1.1 srv1.domain.local. = 192.168.1.2 host.domain.local. is KDC for Kerberos realm DOMAIN.LOCAL, srv1.domain.local. is a KDC for Kerberos realm RC.DOMAIN.LOCAL. RC.DOMAIN.LOCAL和DOMAIN.LOCAL之间存在单向信任关系: RC.DOMAIN.LOCAL ===trusts===> tickets from DOMAIN.LOCAL, 但反之亦然。 在srv1上的RC.DOMAIN.LOCAL的KDC已经build立了一个OpenLDAP-后端根据 http://web.mit.edu/kerberos/krb5-devel/doc/admin/conf_ldap.html 其OpenLDAP后端位于host.domain.local中,可通过 ldaps://host.domain.local:636. 在srv1上也安装了一个本地的OpenLDAP(但是是diabled),因此在srv1上存在本地的ldap.conf等。 当我在(srv1)根会话中手动启动srv1上的KDC时 root@srv1:~# krb5kdc 一切正常。 当我尝试通过系统init脚本在srv1上启动KDC时 root@srv1:~# /etc/init.d/krb5-kdc start 要么 root@srv1:~# service krb5-kdc start srv1上的krb5kdc与主机上的slapd之间的TLS对话框失败; 组合的系统日志是 14:46:44 host.domain.local slapd[1778]: daemon: […]
我有一个要求,在一个中央位置,使用Dante托pipe代理服务器。 我所要做的是通过互联网将远程客户端连接到它,他们将通过网关路由设备,将HTTPstream量转发到Dante,实际上是透明的。 它还需要encryption,我从Dante文档中了解到,要在服务器和客户端之间进行encryption,应该使用GSSAPI。 所以,我的问题是如何在服务器和客户端网站之间安全地使用相同的Kerberos服务器? 我怎么能通过引入Kerberos来保持对客户的透明? 我打算为此使用RHEL。 任何build议将不胜感激。
我正在尝试使用这个http://hbase.apache.org/0.94/book/security.html文档为HBase设置Kerberos身份validation,并且迄今为止进展甚微。 来自Apache的HBase 1.1.1没有任何Cloudera的影响。 主机在Centos 6.5下运行。 我已经build立了Kerberos KDC和客户端后,下面的指令https://gist.github.com/ashrithr/4767927948eca70845db KDC位于HBase我试图保护同一台机器上。 总而言之,这里是当前的环境状态:keytab文件在这里是/opt/hbase.keytab hbase-site.xml内容 <?xml version="1.0"?> <?xml-stylesheet type="text/xsl" href="configuration.xsl"?> <configuration> <property> <name>hbase.rootdir</name> <value>file:///opt/hbase-data/hbase</value> </property> <property> <name>hbase.zookeeper.property.dataDir</name> <value>/opt/hbase-data/zookeeper</value> </property> <property> <name>hbase.cluster.distributed</name> <value>true</value> </property> <property> <name>hbase.security.authentication</name> <value>kerberos</value> </property> <property> <name>hbase.security.authorization</name> <value>true</value> </property> <property> <name>hbase.coprocessor.region.classes</name> <value>org.apache.hadoop.hbase.security.token.TokenProvider</value> </property> <property> <name>hbase.master.keytab.file</name> <value>/opt/hbase.keytab</value> </property> <property> <name>hbase.master.kerberos.principal</name> <value>hbase/[email protected]</value> </property> <property> <name>hbase.regionserver.kerberos.principal</name> <value>hbase/[email protected]</value> </property> <property> <name>hbase.regionserver.keytab.file</name> <value>/opt/hbase.keytab</value> […]
我正在为tomcat服务器configurationKerberos。 在我打电话给Web应用程序支持公司之前,我想知道是否我正在做正确的步骤,因为这是我第一次。 该域有2个区域,一个是.local,另一个是.edu。 人们将通过server.domain.edu访问服务器,因为它具有该名称的SSL证书。 我有一个Windows用户有一个注册的HTTP / server.domain.edu SPN。 该帐户可以作为服务运行。 我运行这个命令ktpass -princ HTTP/[email protected] -mapuser [email protected] -pass "UserPass" -ptype KRB5_NT_PRINCIPAL -out keytabfile.kt 。 从这个命令我得到了一个成功的映射HTTP / server.domain.edu [email protected]和密钥文件。 我将文件复制到tomcat服务器并configuration以下内容。 一个jass.conf文件: WebFDD { com.sun.security.auth.module.Krb5LoginModule required debug=true useKeyTab=true storeKey=true keyTab="C:/keytab.kt" principal="HTTP/server.domain.edu" isInitiator=false; }; 和一个krb5.conf文件: [libdefaults] default_realm = domain default_keytab_name = FILE:c:\keytab.kt default_tkt_enctypes = rc4-hmac,aes256-cts-hmac-sha1-96,aes128-cts-hmac-sha1-96 default_tgs_enctypes = rc4-hmac,aes256-cts-hmac-sha1-96,aes128-cts-hmac-sha1-96 forwardable=true [realms] domain […]
我有我的Ubuntu 15.04服务器间歇性身份validation问题。 定期地,authentication将停止工作。 最终它将自行重新开始工作。 或者,如果我重新启动smbd和sssd,它将立即再次开始工作。 大约在auth问题的同一时间,我在/ var / log / syslog中看到这个错误: [sssd [ldap_child [4199]]]:使用keytab [MEMORY:/etc/krb5.keytab]初始化凭证失败:KDC不支持encryptiontypes。 无法创buildGSSAPIencryption的LDAP连接。 我的search引擎向我指出了将“allow_weak_crypto = true”添加到/etc/krb5.conf的libdefaults部分。 我试过,但无济于事。 我有一堆configuration为AD身份validation的CentOS 6服务器(同样的smb和sssdconfiguration等),他们都工作正常,没有任何问题。 任何人有任何其他的想法?
我有一个域控制器,它必须作为Kerberos KDC和运行在同一个域控制器上的IIS服务器。 我需要设置一个集成Windows身份validation,域用户可以浏览IIS服务器与Kerberos进行身份validation。 我的问题是:即使IIS本身在KDC上,我是否还需要为IIS创build一个keytab文件?
我正在尝试使用fedora和samba作为文件服务器。 使用Kerberos我试图确保没有密码通过我的networking传输。 我可以使用samba作为它的文件服务器function,Kerberos也可以通过使用以下命令获得authentication或validation票证: sudo kinit foo 。 我可以通过使用: sudo klist -a来validation。 但是,每次我使用以下命令: sudo net join ads -S server -U foo它会导致以下错误: kinit succeeded but ads_sasl_spnego_krb5_bind failed: SASL bind in progress 我的smb.conf: [global] workgroup=DOMAIN netbios name=server realm=DOMAIN.local server string=Sama Server Versie%v security=ADS encrypt passwords=yes browseable=yes 我的krb5.conf [libdefaults] # dns_lookup_realm = true dns_lookup_kdc = true ticket_lifetime = 24h […]
我目前正遇到来自WAS 8.5.5.5上的keytab的Kerberos票据过期问题。 同样的过程在Tomcat 8上正常工作,我相信主要区别是JDK / JAAS客户端configuration。 我运行两个香草configuration(没有服务器configuration,除了内存/堆大小)。 以下是在Websphere上运行时的日志文件示例 – 2015-12-01 19:49:42,393 WARN [UserGroupInformation] PriviledgedActionException as:principal/fqdn@place (auth:KERBEROS) cause:javax.security.sasl.SaslException: Failure to initialize security context [Caused by org.ietf.jgss.GSSException, major code: 8, minor code: 0 major string: Credential expired minor string: Kerberos credential has expired] 在WAS中使用自定义的JAASconfiguration,而不必编写代码来规避IBM JDK的行为不同? 我看到一个尝试重新login,但似乎没有处理过期(就像在Oracle JDK上那样)。 2015-12-01 20:06:30,718 INFO [UserGroupInformation] Initiating logout for principal/fqdn@place 2015-12-01 20:06:30,718 […]
目前我们看到很多事件“即使对被阻止的帐户,Kerberos身份validation票证(TGT)也被拒绝”。 同样从事件日志中,我看到正在使用的服务器上不存在的用户名,无论是在用户还是在服务中,都没有运行此应用程序池的应用程序池。 logintypes是8.截图附件,真的需要帮助在这里。 请问任何人都可以解释为什么会发生这种情况?
我们有许多属于域contoso.com的Windows 7和Windows Vista客户端。 客户端在DNS中注册到client.contoso.com 。 我们已经通过GPO从client.contoso.com更改了DNS后缀到contoso.com 。 这对大多数客户端运行正常 – servicePrincipalNames得到了自动更新,包括计算机对象的dNSHostName属性。 但是,有些客户端仍然无法更新属性,导致以下错误消息: 日志名称:系统 来源:NETLOGON 事件ID:5789 级别:错误 计算机:someClient 尝试更新Active Directory中的计算机对象的DNS主机名失败。 更新的值是“someClient.contoso.com”。 发生以下错误:请求的资源正在使用中。 到目前为止,解决这个问题的唯一办法是将客户端从域中删除,并将其放回,这是一种蛮力方法来解决这个问题。 AD对象似乎必须更正权限才能更新提到的属性。 Set-ADComputer -Identity someClient -DNSHostName someClient.contoso.com Set-ADComputer : While processing a change to the DNS Host Name for an object, the Service Principal Name values could not be kept in sync At line:1 char:1 […]