我在公司环境中使用RHEL7和SSSD来对Active Directory进行身份validation。 定期身份validation正常。 我设法让NFSv4服务器与NFSv4客户端一起使用,都使用相同的域与Kerberos和SSSD,但只能以交互方式(即:SSSD在login时自动创build票证或手动使用kinit)。 这些NFS共享的目的是存储一些需要从应用用户(即httpd或tomcat)访问的内容。 这种部署的最佳方法是以非交互方式使访问成为可能? 提前致谢;
很less有文字谈论 一个Unix客户端的Windows服务器(可以说XP)进行身份validation。 我已阅读的文本将提到这个话题,但或多或less略过细节。 当build立/编译/build设/等一个Unix(说freebsd)密钥服务器,什么是“必须” 已经抛弃了几个字的authentication/encryption所需的types,但从来没有足够的细节。 我一直没能find一个好的资源,这个或邮件列表中的职位 帮助/想法?
我们正在使用虚拟PC进行一些testing模型。 一个VPC作为域控制器运行,并在其上configuration了AD。 域名是testing.local。 我们使用集成Windows身份validation和基本身份validation(发送loginID /密码),在运行Web应用程序的域中有另一个VPC(configuration为在端口198监听的网站)。 现在问题是,在AD中创build的一些用户可以访问这个应用程序( http:// testsystem:198 / ),有些则不能。 即使input正确的loginID /密码组合,IIS也会给出401.2错误。 我试图search网页,并被定向到AuthDiag工具。 我安装它并运行Active Directory(Kerberos密钥分发中心)信息 。 它多次显示以下错误(在此VPC中有许多网站正在运行): 在Active Directory中找不到机器“testing系统”的服务主体名称(SPN) 请帮助我们卡住,不能testing应用程序。
IISconfiguration为集成Windows身份validation 。 web.configconfiguration如下: <authentication mode="Windows" /> <identity impersonate="true" /> 我们在\ webserver1和\ webserver2之间进行负载平衡。 Windows Server 2003 \\ webserverX创build一个XML文件到\\ share1并且访问被拒绝。 通过允许Everyon访问共享,我们得到了通过拒绝访问… 我们希望让模拟的用户成为创build文件的所有者。 相反,\\ webserver1的计算机帐户是所有者。 我们如何确保模拟用户在创build时拥有文件的所有权? PROGRESSION: 我决定在\\ webserver1的根目录本地创build文件。 即使impersonate =“true”,文件的所有权也是NETWORK SERVICES。 我无法更改C#代码中文件的所有权。 为什么在创build文件时,IIS不会使用模拟用户的写入权限? 如果真的这样做,我做错了什么?
我正在使用Windows Server 2008和Windows Vista和7进行使用MIT Kerberos 1.6的跨域身份validation,但是当我尝试login用户时,KDC会回答: (wireshark输出) error_code:KRB5KDC_ERR_ETYPE_NOSUPP(14)… e-text:BAD_ENCRYPTION_TYPE 我想知道如何更改encryptiontypes方法与KDC兼容(我试过一个XP客户端,它工作正常)。 (昨天发布超级用户,但我猜这是更多的一个serverfault问题) 谁可以帮我这个事 ? 非常感谢!
我遇到的问题访问Exchange WebDav / OWA从任何机器,但IIS和Exchange服务器。 我们有一个运行Windows 2003的小型开发域。一台服务器(我们称之为IIS_box)运行IIS和Exchange 2003. IIS_Box在/Exchange/虚拟目录上安装了Outlook Web Access,权限拒绝匿名用户,启用身份validation和集成Windows身份validation。 在IIS_Box上,访问http://IIS_Box.ourDomain.net/Exchange/向用户提供OWA应用程序,而不提示input用户名/密码。 但是,转到http:// IIS_Box / Exchange /用户将显示一个用户名/密码对话框。 如果用户没有input用户名和密码,他们会收到401.2 Unauthorized: Access denied due to server configuration错误401.2 Unauthorized: Access denied due to server configuration 。 如果用户尝试input用户名和密码,他们会得到一个401.1 Unauthorized: Access is denied due to invalid credentials 。 在任何其他机器上,用户都会看到用户名/密码对话框,无论他们使用FQDN还是只使用裸露的服务器名称,都会收到401错误。 任何人有任何想法是什么问题,以及我们如何解决? 编辑: 继Jeff从下面的回答后 ,客户正在使用IE7。 在IIS_Box上,将非FQDN URL添加到IIS_Box上的“Intranet”区域可以使其工作。 太棒了! 但是,将普通URL和FQDN URL添加到其他计算机上的“Intranet”区域不会。 这些URL现在显示为“本地Intranet”,但我仍然收到基本身份validation提示和401错误。 如果我进入客户端IE设置,在高级…安全下,如果我禁用 “启用集成Windows身份validation”,它一切正常(如果它在Intranet区域)。 […]
我有一个在ubuntu下的apache2服务器设置来validationActive Directory域控制器。 它可以正常工作,在我想保护的文件夹中有一个.htaccess文件 require valid-user 我的问题是我想用组权限进行身份validation。 所以,如果我在域上进行身份validation(例如,马特),我试图访问一个文件夹。 我应该可以把 require group [email protected] 并且应该检查用户matt是否是my_group活动目录组的成员。 我想这是错误的,或者是不可能的mod_auth_kerb做到这一点?
我怎样才能用一个给定的密码导出一个Kerberos keytab,所以我可以使用它来用MIT KfW进行无密码validation,同时还能够在其他地方用密码进行validation? 如果由于types问题或类似的问题,KDC是麻省理工学院。 谢谢
我正在修改现有的sambaconfiguration,它在Linux服务器上对AD用户进行身份validation时可以正常工作,以处理Kerberos和SSO。 我已经成功地获得了pam_winbind来使用kerberos,它已经发布了票据,并且configuration了SSH以允许GSSAPI和Kerberos。 不幸的是,当尝试通过使用SSO的PuTTYlogin时,它失败。 有谁熟悉configuration这个能够指出我在正确的方向? 谢谢, 马特。
我正在尝试安装一个centos 5.5 squid服务器来对Windows 2008 DC进行身份validation。 我已经按照教程: 获取Squid与Kerberos和Windows 2008/2003/7 / XP进行身份validation但是,我遇到了一个问题。 当我运行命令:(显然是改变了我的环境) # msktutil -c -b "CN=COMPUTERS" -s HTTP/centos.dom.local -h centos.dom.local -k /etc/HTTP.keytab –computer-name centos-http –upn HTTP/centos.dom.local –server server.dom.local –verbose –enctypes 28 我得到以下错误(整个消息太长,不能在这里发布): Error: Unable to set machine password for centos: (3) Authentication error Error: set_password failed kinit工作正常,计算机被添加到计算机和创build的SRVlogging下的DC,除了没有创buildkeytab。