我想知道是否有人可以帮助我。 我正在尝试设置SSO。 我有它在一个域内工作,在那里传递kerberos票,他们login作品,用户能够正确login。 如果没有kerberos票据,它会要求用户通过手动login表单login。 但是,如果我从本地域以外的位置(例如家用计算机)访问该文件,则会向我显示403错误,无法login。 我已经调整了我的.conf到不同的选项,具有不同的结果: 有Kerberos门票进入内部域的工作(自动/手动),但没有外部访问 有外部访问没有kerberos票和手动login域内。 无处不在,无处不在。 我的conf是 ServerName example.com ServerAlias example.com DocumentRoot /location/example/pub LogLevel debug <Directory "/location/example/pub"> Allow from all Options FollowSymLinks Indexes Order allow,deny Deny from 127.0.0.0/8 AuthType Kerberos AuthName "Kerberos Test" KrbMethodNegotiate on KrbMethodK5Passwd on KrbLocalUserMapping on KrbSaveCredentials on KrbVerifyKDC on KrbAuthoritative on KrbServiceName HTTP Krb5keytab /location.keytab KrbAuthRealm EXAMPLE.COM Require […]
我试图让Kerberos为我正在安装的新的Sharepoint服务器工作。 它适用于服务器名称,但不是FQDN。 我已经做了两个setspn,我已经将域添加到受信任的网站,仍然没有运气。 所以我想我会尝试追踪stream量,就像在这篇文章中: https : //blogs.technet.microsoft.com/askds/2012/07/27/kerberos-errors-in-network-captures/ 但是,当我过滤到身份validationstream量,它没有给我什么。 (对于本网站或其他成功网站) 我有点难以理解接下来要做什么,除了可能试试Wireshark之外 – 但是我不知道为什么会给出截然不同的结果。
我在IIS 7.5上configuration了http服务以进行Kerberos身份validation。 它工作正常。 我已经检查从Linux框 # klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: [email protected] Valid starting Expires Service principal 03/08/16 10:19:30 03/08/16 20:19:31 krbtgt/[email protected] renew until 03/15/16 10:19:30 03/08/16 10:20:00 03/08/16 20:19:31 HTTP/[email protected] renew until 03/15/16 10:19:30 简单的testing # curl –trace-ascii – –negotiate -u : http://www.example.net Enter host password for user '[email protected]': == Info: About to connect() […]
我想有一个设置,我的IIS Web服务器位于不同的虚拟服务器上,从我的SQL Server的安装位置,Windows身份validation应该用于所有连接。 我目前正在得到可怕的Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'错误,在IIS服务器上运行的脚本运行对SQL Server的查询,从我所有的研究指向双跳问题。 我试图设置SPN来解决这个问题,但并没有真正得到任何答案。 这是我到目前为止: 在IIS中,我禁用了匿名身份validation,并启用了Windows身份validation。 谈判提供者优先于NTLM提供者 应用程序池被设置为使用NetworkService 在ActiveDirectory中,两个服务器( serveriis和serversql )都被设置为允许委派所有服务 SQL Server服务使用启用了委派的svc_sql用户运行 让我们打电话给域corp.domain.com ,我想能够使用internal作为Intranet网站的URL 我相信,网站不应该使用应用程序池的凭据,并应使用内核模式,但我不是100%肯定是正确的 我曾尝试使用机器帐户或服务帐户为HTTP服务设置SPN,但无法正常工作。 我设法产生的唯一变化是Chrome在使用服务帐户时给了我一个ERR_INVALID_AUTH_CREDENTIALS错误。 为数据库( MSSQLSvc )设置SPN似乎也没有做任何事情。 我没有尝试使用两台服务器的所有机器帐户/服务帐户的所有排列组合。 我已经花了2天的时间试图让这个工作,但所有我在网上find的资源没有指向我的正确的解决scheme。 这两个虚拟服务器都运行Windows 2008 R2。 我将非常感激,如果有人能指出我的解决scheme,不涉及我在与数据库相同的服务器上运行IIS。
新来的,所以我最近在centos7.2 vm上设置了ldap / krb5authentication。 Krb5 / ldap工作正常,因为我可以使用ldap用户帐户login。 但是,当我检查客户机/var/log/secure它是垃圾邮件Unspecified GSS failure. Minor code may provide more information, No credentials cache found Unspecified GSS failure. Minor code may provide more information, No credentials cache found 这不是〜/ .ssh和〜/ .ssh / authorized_key的权限问题。 任何人都可以给我一些指导如何解决这个问题? 关于这个问题的post是谷歌,但通常他们伴随着其他错误,但未Unspecified GSS failure. Minor code may provide more information, No credentials cache found Unspecified GSS failure. […]
我最近build立了一个linux系统(Debian-Jesse),它已经join了一个基于MS的Kerberos域,并且已经被设置为允许基于Kerberos的远程访问validation。 唯一的问题是,身份validation将不会成功,除非有一个匹配的本地用户。 例如,如果我尝试以wboynton @ EXAMPLE.COM @ xx.xxx.xxx.xx的身份login,它将接受我的密码,然后我将看到auth.log确认我的kerberos身份validation,然后由于找不到而拒绝我我在/etc/shadow 。 然后,如果我在远程计算机上运行sudo adduser wboynton并以远程方式尝试远程login,则会成功。 我环顾四周,在互联网上find一个build议,写一个pam_script脚本,在testing每个kerberizedlogin尝试的auth之前创build一个用户,如果它尚不存在的话。 但是,这对我来说似乎很笨拙。 到目前为止,我还没有能够find将Kerberos指定为权限并完全绕过/etc/passwd和/etc/shadow的可靠方法。 这样的系统是否存在? 谢谢!
我试图连接到在ApacheDS上运行的Kerberos。 这里是我在LDAP上加载的初始LDIF: dn: ou=Users,dc=example,dc=com ou: Users description: Example.Com Users objectClass: organizationalUnit dn: uid=hnelson,ou=Users,dc=example,dc=com objectClass: top objectClass: person objectClass: inetOrgPerson objectClass: krb5principal objectClass: krb5kdcentry cn: Horatio Nelson sn: Nelson uid: hnelson userPassword: secret krb5PrincipalName: [email protected] krb5KeyVersionNumber: 0 然后我创build了下面的/etc/krb5.conf [libdefaults] default_realm = EXAMPLE.COM default_tgs_enctypes = des-cbc-md5,des3-cbc-sha1-kd default_tkt_enctypes = des-cbc-md5,des3-cbc-sha1-kd dns_lookup_realm = false dns_lookup_kdc = false allow_weak_crypto = […]
我的Windows Active Directory服务器上安装了Kerberos,但无法连接到UNIX中的KAdmin。 我能够在Windows中创build用户和委托人,将keytabs导出到远程linux服务器,然后成功地将kinit导出。 不过,我想确保keytabs的maxrenewlife和allow_renewable设置,因为我不认为我的keytabs正在更新成功。 1)如何在Windows AD机器上设置这些属性? 我相信这可以通过kadmin界面来完成,但我无法连接到它。 root@dagobah:# kadmin -p pele/[email protected] Authenticating as principal kadmin/[email protected] with password. Password for kadmin/[email protected]: Password for kadmin/[email protected]: kadmin: Database error! Required KADM5 principal missing while initializing kadmin interface 所以下面这个post – https://security.stackexchange.com/questions/7698/kadmin-problem-client-not-found-in-kerberos-database-while-initializing-kadmin – 我创build了kadmin / dagobah&kadmin /pipe理员委托人并重试: root@dagobah:/etc/security/keytabs# kinit kadmin Password for [email protected]: root@dagobah:/etc/security/keytabs# kadmin Authenticating as principal kadmin/[email protected] […]
我的主要目标是build立一个Samba服务器,用户可以使用他们的活动目录凭证连接到哪里。 另外,Samba-Server上的本地linux用户应该能够进行身份validation。 首先,我试图configurationSamba服务器来validation用户对Active-Directory,但不能完全弄清楚如何做到这一点。 Samba服务器版本4.2.10在CentOS 7上运行。我的Samba-Configuration如下所示: /etc/samba/smb.conf中 [全球] 工作组= AD netbios名称= clients-hostname 最大日志大小= 50 日志级别= 3 日志文件= /var/log/samba3/log.%m 映射不可信到域=是 winbind枚举用户=是 winbind枚举组=是 winbindcaching时间= 10 winbind nss info = rfc2307 winbind受信任的域只=没有 winbind使用默认域=是 winbind刷新门票=是 操作系统级别= 20 winbind枚举组=是 realm = AD.COMPANY.CPOM 安全=广告 auth方法= winbind passdb后端= tdbsam 客户端使用spnego = yes 客户端ntlmv2 auth =是 [A股] 可用=是 path= / aShare browseable =是 可写=是 […]
我的系统pipe理员团队正在为我的大学新生自动创build用户帐户。 现在的基本思想是有一个叫做adduser的委托人,可以向我们的Kerberos服务器进行身份validation,并且有能力在数据库中添加新的委托人(在validation用户实际上在学校注册之后)。 我担心的是没有什么能够真正阻止这个委托人添加新的pipe理用户,这绝对不是我们想要的。 理想情况下,我想要设置kadm5.acl,以便adduser主体只能将非pipe理员添加到我们的数据库。 总之,我希望它能够做到这一点: kadmin: addprinc [email protected] ,但如果它尝试这样做,返回一个错误: kadmin: addprinc john/[email protected] 。 基于target_principal选项的文档,我假设我不能这样做: # may add a principal that has no "/" in its name: adduser a [^/]* -clearpolicy 我相信我可以通过确保input在发送到服务器之前已经过很好的消毒来达到同样的效果。 但我想我会问,如果有人有一个更“正式”的方式,我可以设置Kerberos的这个规则的目的?