环境: 操作系统:Ubuntu 14.04.5 LTS x64 硬件:具有2vCPU和2GB内存的vSphere上的VM 默认GNOME桌面安装与gnome-session-flashback 3.8.0。 使用Samba和winbind连接到AD域(请参阅下面的文件)。 问题: login等是成功的,但是当打开一个GNOMEterminal,有时候I have no name!@hostname:~$而不是username@hostname:~$ 事实: 可以很容易地通过打开例如20 gnometerminal( for i in {1..20}; do gnome-terminal; done ) 在“失败”terminal中, whoami报告设置了正确的用户名和USERvariables。 在一段时间内运行不同的命令(例如whoami , wbinfo -m , getent passwd username , id username )不会返回任何故障。 在samba / winbind日志中找不到错误。 configuration似乎没问题(否则它总是会失败)。 问题也存在于默认的GNOME环境中 的krb5.conf [libdefaults] default_realm = MY.DOMAIN.COM dns_lookup_realm = false dns_lookup_kdc = false […]
我正在使用一个系统,它实现了从Firefox 38.2.1(或IE 11)访问在Windows Server 2012(IIS 8.5)上运行的Intranet .NET 4.5.1 Web应用程序到SQL Server 2008 R2的双跳约束委派一个不同的服务器 委托scheme正在运行:将用户的AD凭据传递到独立于Web服务器的服务器上的数据库。 DC是Windows Server 2008 R2,我们使用SPN。 但是,有些情况下,如Kerberos将会失败的Firefoxconfiguration设置丢失; 并且authentication协议降级到NTLM。 授权不再工作一段时间,直到Kerberos身份validation协议自动恢复(有些来源说5分钟,更像是10-12分钟的testing)。 此外,失败的委托会影响所有在协议降级生效之后访问应用程序的用户,直到Kerberos自动重新build立。 换句话说,他们的会话使用NTLM并被阻止访问数据库10-12分钟。 是否有通过DC或代码(c#)或IIS / Firefox / IE的方式手动将身份validation协议还原到Kerberos,从而缩短正在使用NTLM协议的窗口?
我有一个configuration为Kerberos身份validation的IIS 7.5服务器,这一直工作很好。 最近,一些Windows更新被应用(由服务器pipe理员),现在当我的IIS服务器连接到远程SQL Server实例(双跳)时,kerberos票据不会被传递到SQL Server – 但只能用于Windows客户端。 当我连接我的Mac时,一切正常。 我也知道Kerberos票据正在从客户端传递,因为该站点只通过Kerberos进行身份validation(Authentication-> Windows Authentication only – > Negotiate:Kerberos provider only),我可以回显用户名(这是与PHP,所以$_SERVER['REMOTE_USER'] )。 注意:在应用更新之前,这一切都工作正常,从Mac(特别是Safari)访问时,一切仍然工作。 没有对IIS进行configuration更改,所以我不知道从哪里开始寻找。 我怀疑Kerberos可能会破坏的地方有很多,我需要一些帮助。 有没有人曾经遇到过这样的问题,或者有什么想法开始寻找哪里可能破碎的地方?
我必须在我的服务器terminal中手动更新票证,以便用户有权访问他们的邮件帐户。 我使用Kerberos作为login身份validation来访问本地邮件服务器。 我的本地机器有一个remote.X.pt的名字,并且正在向在我的ISP邮件服务器中使用的X.pt (@ X.pt)的域提供邮件。 现在我只能从我的邮件客户端发送邮件,但我还没有弄清楚如何接收邮件; 但我相信问题可能与此无关。 票证有超时,用户不能再使用他们的帐户。 另一个基本的东西,我不明白的是,是不是应该有一个票每人 – 如果没有,那么为什么当我做kinit的几个用户,然后klist,我只看到最后一张票 – 或有一个每个用户的凭证和几张凭证的凭单? 当用户尝试从客户端login时,如何自动续订票据/凭证?
我试图在企业商业环境中的Xubuntu 16.04中joinActive Directory,所以我将通过MY.EXAMPLE.CORP来更改我的REALM名称。 我的问题是:当我跑步 net ads join -U Administrator 它要求我的ADpipe理员帐户的密码,我把密码,但它仍然存在,它不会给出错误或成功的消息。 就在那里。 terminal刚挂在那里 我尝试了kinit和klist命令,结果是: Tickect cache: FILE:/tmp/krb5cc_0 Default principal: [email protected] Valid starting Expires Service principal 11/11/16 09:58:40 11/11/16 19:58:40 krbgt/[email protected] renew until 12/11/16 09:58:34 这些是我在每个文件中所做的更改。 krb5.conf,smb.conf,nsswitch.conf 的krb5.conf [libdefaults] default_realm = MY.DOMAIN.CORP …. [realms] DOMAIN = { kdc = SERVER01.MY.DOMAIN.CORP kdc = SERVER02.MY.DOMAIN.CORP admin_server = SERVER01.MY.DOMAIN.CORP SERVER.MY.DOMAIN.CORP […]
我有一个问题与多个域validationkerberos。 我在Windows Server 2012 R2上使用Alfresco 4.2f,我在两个域之间有一个森林信任(function级别2008 r2)。 我的kerberos跨域设置就像从这里的文档文档: https ://community.alfresco.com/external-link.jspa?url =https% 3A%2F%2Fissues.alfresco.com%2Fjira%2Fbrowse%2FMNT- 10368 问题是,我能够从我的主域用户login正确,但没有来自我的第二个域的用户。 我用wireshark跟踪了krb5包,如果我尝试从第二个域login,我得到以下包:“ KRB5错误:KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN ”。 在这个包中,我可以看到来自第二个域的用户试图从主域validation域。 问题是完全一样的在这里(没有答案): https : //community.alfresco.com/thread/176568-kerberos-with-multiple-domains-on-share-40d 这是我的krb5.ini: [libdefaults] default_realm = DOMAIN1.LOC dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 2h default_tkt_enctypes = rc4-hmac default_tgs_enctypes = rc4-hmac [realms] DOMAIN1.LOC = { kdc = dc01.domain1.loc:88 admin_server = dc01.domain1.loc:749 default_domain = domain1.loc […]
我正在按照本指南使用LDAP来设置Kerberos。 我已经遵循了所有的步骤。 但是,当我运行kadmin.local它退出以下错误: 使用密码身份validation身份为root/[email protected]。 kadmin.local:无法绑定到LDAP服务器'ldaps://'as'cn = admin,dc = example,dc = com':在初始化kadmin.local界面时无法联系LDAP服务器 — Subject: Unit krb5-kdc.service has begun start-up — Defined-By: systemd — Support: http://www.ubuntu.com/support — — Unit krb5-kdc.service has begun starting up. Jan 02 06:19:12 ubuntu-512mb-blr1-01 systemd[1]: Starting Kerberos 5 Key Distribution Center… — Subject: Unit krb5-kdc.service has begun start-up — Defined-By: systemd — Support: […]
我们正在使用我们无法更改或扩展的LDAP设置 。 我们需要将Kerberos服务器添加到环境中。 是否有可能使Kerberos服务器只用于validationvalidation ,并使用本地Kerberos主体数据库的一切?
我最近一直在试图build立一个新的Ubuntu服务器环境,我们想要build立一个类似于旧版Windows AD的单一login系统。 在这种情况下,您将使用kerberos用户名和密码进行SSH连接,并像往常一样对其进行身份validation,并且如果您还没有本地主目录,并且可以以普通本地用户身份进行操作,则会创build本地主目录。 在这种情况下,我们所有的服务器都是Ubuntu Server 16.04 / 16.10,这是不能改变的。 我一直跟着O'Reilly的书“Kerberos:权威指南”学习,从这里我设法正确地设置了我的KDC和DNS,这个问题似乎是正确的。我试图build立一个客户端,我把krb5.conf文件戳到正确的位置,确保我有用户主体,但是每当我尝试login时,它都会挂起一秒钟,然后authentication失败,出现错误: Decrypt integrity check failed在auth.log 在这种情况下,我使用PAM模块pam_krb5.so和pam_mkhomedir.so创build一个新的用户主目录。 这些是使用Ubuntu的pam-auth-update实用程序设置的。 我可以得到kerberos门票,如果我从客户机手动kinit ,但login似乎完全失败。 一段时间以来,我们试图评估FreeIPA,但是对于我们来说,这似乎在Ubuntu上看起来非常糟糕,无法挽回,看起来似乎比它更值钱。 我真的不知道我在这里错过了什么,每当我试图find关于这个主题的信息时,都觉得我错过了一些预期的关键步骤,但似乎没有人告诉我? 谢谢!
在我的环境中,我有两个独立的森林FA.COM和FB.COM以及两个子域DA.FA.COM和DB.FB.com。 DA.FA.COM和DB.FB.com之间没有森林信任,而是双向的外部信任。 我在DB.FB.com上有一个IIS服务器(Windows 2012r2上的IIS8.5),我按照这里的说明https://blogs.msdn.microsoft.com/chiranth/2014/04/17/setting-up-kerberos -authentication-for-a-in-in-iis /为IIS服务器中的静态网站configurationKerberos SSO,并为从DB.FB.COM访问的客户端工作。 但是我需要扩展访问权限,以允许来自DA.FA.COM的用户通过Kerberos访问他们的客户端机器(也在DA.FA.COM中)访问静态网站(在DB.FB.COM中)。 目前来自DA.FA.COM的用户和客户能够通过NTLM而不是Kerberos进行SSO。 (注意:我通过使用Fiddler和Klist来检查SSO是通过Kerberos还是NTLM来检查) 我的问题是,如果我在域DB.FB.COM中使用kerberos sso,是否需要在IIS服务器上进一步configuration以支持跨林kerberos,或者是DA中的域控制器之间的configuration问题。 FA.COM和DB.FB.com支持跨林kerberos?