有一段时间试图让.NET Web应用程序成功使用Kerberos身份validation,并希望从SF社区的一些帮助。 目前有一个Win2003 / IIS6服务器托pipe一个网站的默认“networking服务”应用程序池。 基于MS 如何创build服务帐户页面,我执行了以下步骤: 创build一个新的域帐户MYDOMAIN\CustomASP 使用aspnet_regiis -ga MYDOMAIN\CustomASP注册服务器上的帐户 在域帐户上创build新的SPN HTTP/SERVERNAME和HTTP/SERVERNAME.fqdn.here 使MYDOMAIN\CustomASP标识下运行的应用程序池MyPool 在新的应用程序池中创build一个新的虚拟目录MyASP 确保SERVERNAME位于Intranet区域,IE已启用IWA 根据我所读到的,这是应该有的。 现有的网站正在使用Kerberos,它工作正常; 但尝试浏览到http:// servername / MyASP会导致logging失败的login尝试,并且以空白的用户名将事件529写入安全日志。 NTLM身份validation将为此工作(通过closuresIE的IWA或通过IP地址访问服务器testing),但Kerberos将无法正常工作。 我可以select强制NTLM,并要求虚拟目录使用SSL,但这似乎是“丑陋的黑客”的方式来解决这个问题。 当然,我只是错过了一个史诗般的睡眠不足导致的手术过程中显而易见的一步。 任何帮助,build议,或谁曾经在这里和修复它的故事将不胜感激。 提前致谢。
我想知道是否有可能让Windows XP机器使用Kerberos进行Squid(Linux)authentication,而不需要Active Directory域。 我只想在客户端创build一个Kerberos票据,这应该让客户端访问鱿鱼(使用IE)。 我只find关于configurationAD / Squid的教程,而不是只有Linux服务器的环境。 谢谢 更新: Kerberos设置正确完成,代理和客户端可以获得门票。 至于浏览器(FF / IE),我得到: ERROR Cache Access Denied While trying to retrieve the URL: http://www.google.com/ The following error was encountered: * Cache Access Denied. Sorry, you are not currently allowed to request: http://www.google.com/ from this cache until you have authenticated yourself. 在Kerberos,我得到: squid_kerb_auth: Got 'YR ElRNTVMTUABBAABAB4IIogAAAAAAAAAAAAAAAAAAAAAFASgDAAAADw==' […]
自从一段时间以来,我一直在努力解决这个问题,我开始急于寻找解决scheme。 这是我的问题:我已经设置了一个通过Microsoft ISA发布的SAP企业门户。 ISA用于通过HTTPS(仅在SAP EP上的HTTP)发布页面,并且侦听器configuration为匿名,客户端可以直接进行身份validation。 SAP EP然后处理authentication。 我们决定引入Kerberos来简化连接。 在SAP方面没有问题,SPNego向导,一个重启的实例和瞧。 在AD方面,我们创build了SPN并将其分配给SAP中指定的服务帐户。 那么,当您直接寻址SAP EP时,它就像一个魅力(来自IE,Firefox和Chrome的HTTP和HTTPS)。 但是,当我们试图通过微软TMG(新的ISA),与之前的设置(监听器和客户端的身份validation没有validation),它适用于Firefox和HTTPS和HTTP的Chrome的问题,但在IE浏览器只能在HTTP下工作。 IE或TMG似乎与TMG完成的HTTPS – > HTTP隧道相混淆。 我检查与提琴手,IE浏览器正在收到谈判的401,并张贴KRB票,但它失败了,并返回到SAP的身份validation页。 仅供参考:SPN是正确的,IE正确地得到它,但有些东西不能正常滚动。
客户端计算机是否可以通过Kerberos / KCDauthentication服务进行authentication(即 – 不使用NTLM),但是他们使用的计算机不能访问任何DC和/或不是成员的域本身?
我正在使用IIS 7在Windows身份validation下build立一个网站。 我看到身份validation问题,我几乎可以肯定,这是有关Kerberos问题,我错误地设置SPN。 我正在使用的场景如下。 我创build了一个新的testing域(FQDN,其中调用为“ test.net ”)由域控制器(让我们称之为'testingDC')。 在这个新的域名(testing)下,我托pipe了一个IIS服务器,它使用Kerberos委托使用Windows身份validation。 我启用了Windows身份validation启用而其他禁用IISpipe理器中。 假设这个IIS机器名是'test-iis',活动目录把它的用户名作为'user-iis'作为IIS服务器。 IIS服务器中的应用程序池在服务帐户下运行为“TEST \ user-iis”。 我正在尝试为HTTP服务types设置SPN。 第一个问题:我正在设置SPN setspn -a http/test-iis.test.net 这个SPN设置是否正确? 我的第二个问题是。 我在域控制器中设置此SPN值思维DC是将validation凭据和所有的实体。 我的想法是对的吗? 有关这个问题的任何build议将是对我和其他人很有帮助。 谢谢.. [编辑]还有一件事,我能够从IIS服务器ping到同一域中的另外两台机器,但我无法用其他两台机器ping IIS服务器。 谁能帮我理解为什么是这样?
我inheritance了一个运行Kerberos的Fedora Linux系统,我正在尝试创build一个新的用户。 我已经能够提出kadmin的提示,我正在尝试创build用户NewUser,所以我试着发出命令: ank -policy users NewUser 但是我收到错误消息: add_principal: Policy does not exist while creating "[email protected]". 我然后尝试: addprinc NewUser 这似乎成功了,但是当我尝试使用这个新帐户login到我们的Kerberos域中的其他机器时,我得到了permission denied错误。 我还需要做些什么才能创build一个新的Kerberos用户?
我有一个经典的ASP编写的web服务。 在这个Web服务中,它试图通过DCOM在另一台服务器上创build一个VirtualServer.Application对象。 这与权限被拒绝失败。 不过,我有另一个组件在相同的远程服务器上的这个相同的web服务实例化,创build没有问题。 这个组件是一个定制的内部组件。 webservice从一个独立的EXE程序调用,它通过WinHTTP调用它。 已经证实,WinHTTP正在使用Kerberos对web服务进行身份validation。 用户身份validation到Web服务是pipe理员用户。 EXE到webserviceauthentication步骤是成功的,并与Kerberos。 我用DCOMCNFGvalidation了远程计算机上的DCOM权限。 默认限制允许pipe理员本地和远程激活,本地和远程访问,以及本地和远程启动。 默认组件权限允许相同。 这已经被validation。 工作组件的单个组件权限被设置为默认值。 VirtualServer.Application组件的单个组件权限也被设置为默认值。 基于这些设置,web服务应该能够实例化并访问远程计算机上的组件。 在运行这两个testing的同时设置Wireshark跟踪,一个与工作组件一起,另一个与VirtualServer.Application组件一起显示一个intresting行为。 当web服务正在实例化工作,定制,组件时,我可以看到RPCSS端点映射器上的请求首先执行TCP连接序列。 然后我看到它执行绑定请求与适当的安全包,在这种情况下kerberos。 在获得正在运行的DCOM组件的端点后,它通过Kerberos再次连接到DCOM端点进行身份validation,并成功地实例化和通信。 在失败的VirtualServer.Application组件上,我再次看到具有Kerberos的绑定请求成功转到RPCC端点映射器。 但是,当它尝试连接到虚拟服务器进程中的端点时,它将无法连接,因为它只尝试使用NTLM进行身份validation,NTLM最终失败,因为Web服务无权访问凭据以执行NTLM哈希。 为什么它试图通过NTLM进行身份validation? 附加信息: 这两个组件通过DCOM在同一台服务器上运行 这两个组件在服务器上作为本地系统运行 这两个组件都是Win32服务组件 这两个组件具有完全相同的启动/访问/激活DCOM权限 两个Win32服务都设置为以本地系统运行 拒绝的权限不是权限问题,据我所知,这是一个身份validation问题。 权限被拒绝,因为NTLM身份validation与NULL用户名而不是Kerberos委派使用 受约束的委托设置在托pipeWeb服务的服务器上。 托pipeweb服务的服务器被允许委托给rpcss / dcom-server-name 承载web服务的服务器被允许委托给vssvc / dcom-server-name dcom服务器被允许委托给rpcss / webservice-server 在dcom服务器上注册的SPN包括rpcss / dcom-server-name和vssvc / dcom-server-name以及HOST / dcom-server-name相关的SPN 在webservice-server上注册的SPN包括rpcss / webservice-server和HOST / webservice-server相关的SPN 任何人都有任何想法,为什么试图在远程服务器上创build一个VirtualServer.Application对象回落到NTLM身份validation导致它失败,并获得权限被拒绝? 附加信息:当以下代码在web服务的上下文中运行时,直接通过仅testing的,刚刚开发的COM组件运行,它在具有拒绝访问的指定行上失败。 […]
我有一个可用的Fedora 9系统,通过PAM – > krb5 – > Active Directory对用户进行身份validation。 我将它迁移到Fedora 14,一切正常,但工作得很好:-)在Fedora 9上,如果一个Linux用户更新了他们的密码,它就不会传播到他们的Active Directory帐户。 在Fedora 14上,它正在更改他们的A / D密码。 问题是我不希望A / D被更新。 这是我的password-auth-ac : auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth sufficient pam_krb5.so use_first_pass auth required pam_deny.so account required pam_unix.so account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < […]
我们将启用Kerberos以允许我们的SQL Server之间的双重身份validation。 我们公司将近24小时,为服务器重启留下一个非常小的窗口。 是否可以在不需要重新启动域控制器或SQL服务器的情况下启用Kerberos?
我只是将我的Mac OS升级到10.7 Lion。 它以前运作良好。 但是,现在只有kinit正常工作,不能ssh到我的服务器。 重新安装“Mac OS X Kerberos Extras”后,没有什么更好的了。 任何人都给我一个帮助? 非常感谢!! 我的命令行: Myname$ ssh [email protected] -v …… debug1: Authentications that can continue: gssapi-with-mic,password debug1: Next authentication method: gssapi-with-mic debug1: Miscellaneous failure (see text) UNKNOWN_SERVER while looking up 'host/[email protected]' (cached result, timeout in 1200 sec) debug1: An invalid name was supplied unknown mech-code 0 for […]