我有一个类似于“AD.EXAMPLE.COM”的Active Directory域。 我已经安装了一个FQDN略有不同的Apache服务器 从我的AD域名:“apache.example.com”(没有AD)。 我正在尝试将Kerberos传递身份validationconfiguration到Apache服务器 通过mod_auth_kerb,并在生成密钥表时我使用了下面的SPN: HTTP/[email protected] 由于表单应该(根据文档): HTTP / FQDN @ REALM configuration文件的相关http.conf部分如下所示: <Location "/secure"> AuthType Kerberos AuthName "Kerberos Login" KrbMethodNegotiate On KrbMethodK5Passwd On KrbAuthRealms AD.EXAMPLE.COM KrbLocalUserMapping On KrbServiceName HTTP Krb5KeyTab /etc/httpd/conf.d/apache.keytab require valid-user </Location> 当我尝试从域内访问Apache服务器时,我得到一个提示 input我的密码,所以传递身份validation不起作用。 我错过了什么? 提前致谢。
我知道这个问题很笨拙,而且我也意识到在这个问题上会有多重因素,不会导致一个明确的答案。 我似乎回忆起过去曾经启动的服务,并坦率地说“只是继续运行”,直到服务(或服务器)重新启动 – 才发现我们错过了更新密码。 我正在研究最近发生的Windows服务失败的事件。 根据其他有问题的信息,其中一个假设是对服务帐户进行密码更改,并且当密码更改发生时,导致服务失败。 清除这个问题的一个问题是,我被引入这个日子后,当许多主日志(Windows事件日志,域控制器日志)不再是直接可用的,我们依靠下游日志(SIEM)并不总是可靠的。 我试图指出的一件事情是,即使假设发生了密码更改(这对于上面的日志问题是未经证实的) – 挂起域服务帐户的密码不会立即“中断”服务,有一定的寿命,而且这个生命可以比预期的要长得多。 (Kerberos票证的生命期等)但老实说,虽然我通常知道这一点,但我并没有具体清楚这些因素。 我也相信授权可能会持续相当长的一段时间,即使密码更改也是如此。 有人可以帮我澄清一下吗? 在我的Windows环境中,我可以看到什么东西,服务将“存活”密码更改多久。
我们使用SSSD在Centos 7.3 build 1611上提供AD身份validation和kerberos TGT获取。 这对大多数99%的用户来说是正确的,但是我们遇到了一个问题,那就是密码更改后(通过Windows PC),单个用户不能再login到Centos(但是可以loginWindows和其他相关的AD / LDAP服务 – 电子邮件等) 我们已经尝试过跟踪,包括SSH和SSSD,重置pam_faillock条目,提供不同的服务器(通过realmd连接到同一个AD域),但是我们仍然看到一条消息,指出用户的密码不正确。 如果我们尝试和kinit作为失败的用户,也会失败,通常的消息指出密码不正确: kinit:获取初始凭证时,预authentication失败 我已经检查了我所能做到的 – 对于我未经训练的人来说,这看起来不像Centos / SSSD问题,而是中心问题。 然而,你有没有试过去ADpipe理员这样的模糊的东西? 🙂 只是想知道是否有人看到这样的事情,如果有什么我们可以做的修复。 SSD追踪debugging7 – krb5_child.log: (Fri Apr 21 12:40:17 2017) [[sssd[krb5_child[2488]]]] [main] (0x0400): krb5_child started. (Fri Apr 21 12:40:17 2017) [[sssd[krb5_child[2488]]]] [unpack_buffer] (0x1000): total buffer size: [133] (Fri Apr 21 12:40:17 2017) [[sssd[krb5_child[2488]]]] [unpack_buffer] (0x0100): […]
有没有人看到他们的Linux服务器由于过期的机器凭据而从AD域中删除? 我们使用sssd-1.13.3-56.el6(Centos 6) 根据“ https://bugzilla.redhat.com/show_bug.cgi?id=1290761”,sssd应该能够自动更新主机凭证。 没有提到在每个相关红帽文档(“将红帽企业Linux 6与Active Directory集成”)joinAD时应该采取的额外configuration步骤。 根据我的search,一些运行cron作业来更新主机凭据“ https://lists.fedorahosted.org/archives/list/[email protected]/thread/CRA43XHHDBPAENAYJ3INUWSCE2Q2NB5W/ ” SSSD Kerberos AD Centos故障排除 我们是否需要一个cron作业来运行:“msktutil –auto-update”和“kinit -k $”? 或者sssd应该可以处理这个? 您是否在sssd.conf中设置了“ad_maximum_machine_account_password_age”,或者将其保留默认30天。 干杯, 更新:@jhrozek,谢谢你的评论。 我仍然看到与我的configuration相同的问题。 看起来票5月28日没有得到更新,服务器退出了领域: # net ads testjoin kerberos_kinit_password [email protected] failed: Preauthentication failed kerberos_kinit_password [email protected] failed: Preauthentication failed Join to domain is not valid: Logon failure 密钥表状态: # klist -kt Keytab name: FILE:/etc/krb5.keytab KVNO […]
我如何testing到Keberos KDC(UDP / 88)的networking连接? Kerberos是否有标准的沟通方式来提供任何输出? 例如HTTP, nc -v google.com 80 GET 将转储网站 nc -v smtp.gmail.com 587 ehlo localhost.localdomain 将转储我有的选项(如starttls) 但是kerberos,作为UDP,我甚至不能testing套接字是否打开,我能够testing是否存在防火墙问题的唯一方法是login到KDC,停止kerberos,并在该端口上启动netcat [[email protected] ~]$ nc -l -u 88 [[email protected] ~]$ nc kdc.example.com -u 88
我最近inheritance了维护我们的Samba域控制器的责任,这个控制器主要用于pipe理日志到域中,并作为一个安全的文件共享。 这个系统的初始configuration并不完全知道,因为在我join这个组之前就已经configuration好了,而且由于最近出现了一些意外的人员变动,我离开了一个服务中断的系统,关于。 服务器运行Ubuntu 16.04,并使用samba来模拟Windows Active Directory(我想我正在使用正确的术语)。 如果需要,我很高兴发布configuration文件或其他相关信息。 我发现我无法将新机器join到域中,而且login到该域下的Windows机器似乎是依赖于caching凭据,密码更改不会反映在不同的机器上。 我去挖掘,我最初的发现是,在服务器机器的启动,其中一个服务显示无法启动。 查看日志文件kerberos 5密钥分发服务失败。 Kerberos服务已经打破了好几个月似乎。 我遵循一个非常有用的指导来configuration一个新的kerberos域,链接在消息的底部。 我按照指南重新安装了kerberos 5服务器,现在服务已经正确地在启动时正常启动,并且通过跟踪指南所build议的日志文件的跟踪,我可以看到它正在与networking上的其他计算机通信,我可以看到各种计算机进行login尝试,由于没有计算机名称在主目录列表失败。 (这是另一个较低优先级的问题,因为当我重新安装时,我认为旧的主体文件被覆盖,不知道这是一种可能性,找出这些计算机在自动尝试重新连接时发送的密码将允许我将它们添加到校长用正确的密码来解决这个问题)当我尝试login在join到域的机器的Windows 7login页面,当事情还在工作时,我可以在服务器上实时看到它的踪迹terminal读出。 但是,并不是一切都好。 当我尝试login仍join域的terminal时,核收到来自用户名@ MSAE的login名,并且未能find匹配项,因为域名为msae.wisc.edu,因此找不到匹配项用户名。 这有点让我感到困惑,因为在域名下的窗口中列出了“msae.wisc.edu”,但在login时,域名为“MSAE”login尝试缺乏必要的“.wisc.edu”以完全匹配在校长列表中find。 我不知道如何继续。 我曾尝试使用msae.wisc.edu/usernamelogin,强制域读取“msae.wisc.edu”,这会导致“服务器上的安全数据库没有此工作站信任关系的计算机帐户”当发送正确的密码时,在Windows机器上的消息,并在服务器上,我看到: Jun 22 13:09:10 nucleus.msae.wisc.edu krb5kdc[1040](info): AS_REQ (6 etypes {18 17 23 24 -135 3}) 128.104.185.62: ISSUE: authtime 1498154950, etypes {rep=18 tkt=18 ses=18}, [email protected] for krbtgt/[email protected] 我也尝试添加一个新的条目,只有MSAE作为域的主体,即username @ MSAE,而不是所有其他的读取[email protected]。 当我login时,没有指定域(即使用窗口中显示的默认MSAE域),我得到以下错误: REFERRAL: username@MSAE for […]
我有麻烦我的Kerberos服务器(LDAP后端)。 我想重新启动KDC服务,并失败。 它已经工作好几个星期了。 由于我刚刚调整了LDAP ACL,我尝试了以下命令: $ slapacl -D cn=kdc-srv,ou=krb5,dc=example,dc=org -b ou=krb5,dc=example,dc=org entry/read authcDN: "cn=kdc-srv,ou=krb5,dc=example,dc=org" read access to entry: ALLOWED – $ ldapsearch -b ou=krb5,dc=example,dc=org -D 'cn=kdc-srv,ou=krb5,dc=example,dc=org' -W Enter LDAP Password: ldap_bind: Invalid credentials (49) – 第二条命令的结果对我来说没有任何意义。 怎样才能被允许,但仍然失败? 编辑:另外,如果我这样做,而不是: ldapsearch -Y EXTERNAL -H ldapi:// -b ou=krb5,dc=example,dc=org -D 'cn=kdc-srv,ou=krb5,dc=example,dc=org' -W 我得到No such object (32) 。 – 我首先将LDAP目录中的KDC […]
从http://www.h5l.org/manual/HEAD/info/heimdal/Using-LDAP-to-store-the-database.html#Using-LDAP-to-store-the-database 当前版本的Heimdal,使用–with-openldap = / usr / localconfiguration Heimdal的OpenBSD包没有configurationOpenLDAP支持。 我想用OpenLDAP支持进行编译。 我下载了OpenBSD ports树并安装它。 我可以make heimdal端口,但我不确定如何configuration它以使用OpenLDAP 我尝试在Makefile添加–with-openldap=/usr/local/bin到CONFIGURE_ARGS ,然后运行,但不包括OpenLDAP 也可以将ldap后端configuration为共享模块,请参阅选项-hdb-openldap-module来configuration 我怎样才能做到这一点?
直到最近,我们一直在我们的环境中使用Group Managed Service Accounts(gMSAs)。 我们在生产中部署了几个应用程序,其中gMSAs是在60天前创build的,但尚未使用。 在gMSA的属性上,msDS-ManagedPasswordInterval的默认值是30天。 当install-adserviceaccount作为部署脚本的一部分运行时,pwdLastSet,msDS-ManagedPasswordId和msDS-ManagedPasswordPreviousId属性已更新,但是应用程序池始终无法启动,我们看到每次尝试启动都会出现badPasswordTime更新。 通过再次运行install-adserviceaccount修复了这个问题,这大概是从AD中获取了正确的密码。 我们用多个账户观察到这种行为,其中第一次使用的天数大于30天。 我们还没有看到这个帐户已被使用在30天内创build(超过150个帐户)的问题。 另一个variables是我们正在部署到负载平衡的环境,所以gMSA可以同时安装在多台服务器上。 不是所有的服务器都有相同的gMSA的问题。 在运行我们的脚本之外,我们还没有能够通过手动testing来重现这个问题,所以我想知道在更改密码和在更改完全同步之前从活动目录中检索密码之间是否存在争用条件。 有没有办法检查是否是这种情况? 有没有其他人遇到过这种情况? 目标服务器和域控制器(5)都运行Windows Server 2012 R2,并已完全打补丁。 域function级别也是Windows Server 2012 R2。
我们将/ home目录存储在NetApp SVN上,并使用Kerberos将它们自动挂载为NFSv4。 这似乎在RHEL7.x上完美运行,但无论我们尝试什么,它都不能在Ubuntu 14.04或16.04中运行。 RHEL和Ubuntu都使用SSSD,并使用realmdjoin同一个域。 我比较了RHEL和Ubuntu之间的所有configuration(krb5.conf,sssd.conf,resolv.conf,nsswitch.conf,idmapd.conf,所有的pamconfiguration等),设置都是一样的。 我比较了RHEL中已安装的pam,krb5,sssd,nfs等软件包,并在Ubuntu上安装了所有可比较的软件包。 所有服务都已成功启动。 防火墙完全禁用。 RHEL和Ubuntu都禁用了SELinux。 两者都有相同服务主体的krb5.keytab文件。 出于某种原因,在Ubuntu机器上,当用户login时,sssd日志表明服务票证被授予,但是当您以该用户身份运行“klist”时,只有TGT被列出。 通过debuggingautofs,在Ubuntu上显示: attempting to mount entry /home/user >> mount.nfs4: access denied by server while mounting 10.4.195.9:/NetAppSVM_Home/user >> mount.nfs4: access denied by server while mounting 10.4.195.8:/NetAppSVM_Home/user mount(nfs): nfs: mount failure files.uconn.edu:/NetAppSVM_Home/user on /home/user failed to mount /home/user 我们在RHEL和Ubuntu上的/etc/auto.home看起来像: * -fstype=nfs4,sec=krb5,user=&,uid=$UID,gid=$GID,cruid=$UID files.univ.edu:/NetAppSVM_Home/& 两台机器都在同一个子网上。 用户成功通过身份validation,但出于某种原因,自动挂载/ home可以在RHEL而不是Ubuntu上运行。 […]