kinit [email protected] klist -afe 票据caching:FILE:/ tmp / krb5cc_1000 默认主体:[email protected] 有效起始时间到期服务主体 08/04/11 13:14:53 08/05/11 01:14:53 krbtgt / [email protected] 更新至08/05/11 13:14:53,标记:FRI Etype(skey,tkt):des3-cbc-sha1,des3-cbc-sha1 地址:(无) ldapwhoami -h dc1.windows.domain.tld SASL / GSSAPI身份validation已启动 ldap_sasl_interactive_bind_s:本地错误(-2) 附加信息:SASL(-1):通用失败:GSSAPI错误:未指定的GSS失败。 次要代码可能提供更多信息(在Kerberos数据库中找不到服务器ldap / [email protected]) kvno ldap/[email protected] ldap/[email protected]: kvno = 65 klist -afe 票据caching:FILE:/ tmp / krb5cc_1000 默认主体:[email protected] 有效起始时间到期服务主体 08/04/11 13:14:53 08/05/11 01:14:53 krbtgt / [email protected] 更新至08/05/11 13:14:53,标记:FRI […]
我们在环境中运行SharePoint 2007,并且目前在这两个域之间有一个非传递性的外部信任设置,因为计划迁移到SharePoint 2010.我们的SQL Server位于域2中,而域1位于前端Web服务器。 我们已经设置了一个SharePoint 2010实例,但是使用的是NTLM,我想将其改为使用Kerberos,但是很难在两个独立的森林域之间find关于设置的具体信息。 不要误会我的错误,那里有很多,它只是信息超载,并希望有人可以分享他们有一个simliar设置和/或指向我一些特定的文档,博客,或任何他们已经有的经验,已经使用和工作。 谢谢..
我的自定义401错误页面获取由Apache的Firefox为非IE浏览器。 我正在使用Kerberos身份validation和ldap组授权。 基本上,如果用户不在合适的组,我想要显示401错误页面。 这是适用于Firefox而不是IE浏览器。 此外,它看起来像IE浏览器试图获取资源两次,而不是Firefox获取资源一次,并显示正确的错误信息。 ==> /var/log/httpd/ssl_access_log <== xxx.xx.xxx.xx – – [20/Oct/2011:11:10:25 -0400] "GET / HTTP/1.1" 401 129 ==> /var/log/httpd/ssl_request_log <== [20/Oct/2011:11:10:25 -0400] xxx.xx.xxx.xx TLSv1 AES128-SHA "GET / HTTP/1.1" 129 ==> /var/log/httpd/ssl_access_log <== xxx.xx.xxx.xx – rballest [20/Oct/2011:11:10:25 -0400] "GET / HTTP/1.1" 401 129 ==> /var/log/httpd/ssl_request_log <== [20/Oct/2011:11:10:25 -0400] xxx.xx.xxx.xx TLSv1 AES128-SHA "GET / HTTP/1.1" 129 […]
我试图通过在Android手机上使用客户端证书,在2008R2盒子上通过TMG 2010在Server2K3盒子上发布Exchange 2003 ActiveSync。 从我可以告诉,问题是与TMG,因为当我直接连接到邮件服务器一切工作正常。 在通过TMG时,我可以在EAS日志中看到这个尝试,服务器返回403.7 – 禁止,需要客户端证书。 现在,我已经设置了Web侦听器来要求客户端证书,我已经告诉发布规则使用Kerberos约束委派,并且我已经在Active Directory中configuration了TMG框,以便使用以下SPN进行委派: http / {邮件服务器内部FQDN} w3svc / {邮件服务器内部FQDN} 我遵循了这两个演练中的步骤: http://www.isaserver.org/tutorials/publish-microsoft-exchange-active-sync-eas-isa-server-2006-part1.html http://www.isaserver.org/tutorials/Publish-Microsoft-Exchange-Active-Sync-EAS-ISA-Server-2006-Part2.html 尽pipe如此,尽pipe如此,我还是从Exchange服务器获得了403.7的回报。 我怀疑问题在于TMG服务器从我们的DC获取票据,或者TMG向邮件服务器提供票据。 任何build议将是最受欢迎的! 提前致谢。
我想用mod_auth_kerb在Linux上使用Kerberos和Apache 2。 我添加.htaccess我的项目如下: #SSLRequireSSL AuthType Kerberos AuthName "Kerberos Login" KrbMethodNegotiate On KrbMethodK5Passwd Off KrbAuthRealms DOMAIN.COM Krb5KeyTab /etc/httpd/httpd.keytab KrbLocalUserMapping On require valid-user 当我试图在IE或Firefox上testing我的单一login时,在apache日志中出现以下错误: [Thu Jan 19 21:03:27 2012] [error] [client 10.65.0.1] gss_accept_sec_context() failed: An unsupported mechanism was requested (, Unknown error) 我不知道这是什么,也不知道该怎么做。 我的目标是让REMOTE_USER被AD用户名所填充。 但是现在因为这个错误我什么也做不了
我不知道这是否是libapache2-mod-auth-curb,apache2-mpm-itk或apache2。 错误信息本身是非常神秘的: access to / failed, reason: user 'd_inevitable' does not meet 'require'ments for user/valid-user to be allowed access 我正在尝试为所有开发用户创build一个开发服务器。 首先,我试图使用一个虚拟主机:没有成功。 没有为每个用户设置一个新的虚拟主机。 用户的虚拟主机如下所示: <VirtualHost 10.1.7.150:443> ServerAdmin d_inevitable@lan ServerName dinevitable.userspace.lan ServerAlias *.dinevitable.userspace.lan AssignUserId d_inevitable devel DocumentRoot "/home/users/d_inevitable/workspace" <Directory "/home/users/d_inevitable/workspace"> AllowOverride All Options Indexes FollowSymlinks SymLinksIfOwnerMatch Order allow,deny allow from all AuthType Kerberos AuthName "Kerberos LAN Realm […]
我有一个Active Directory轻量级目录服务设置。 我有代表Active Directory(Domain_A)中的用户的对象。 我已经设置了它们的objectSID属性,用户可以使用它们的Active Directory密码对LDS进行身份validation。 我喜欢它。 这里是一个成功的LDS代理authentication的格式化Wiresharknetworking跟踪: LDAP bindRequest(1)“cn = ixe013,cn = Users,cn = Fizz,dc = Buzz,dc = tst”simple KRB5 AS-REQ KRB5 KRB错误:KRB5KDC_ERR_PREAUTH_REQUIRED KRB5 AS-REQ KRB5 AS-REP KRB5 TGS-REQ KRB5 TGS-REP LDAP bindResponse(1)成功 LDAP unbindRequest(2) 我想从不同于Domain_A的Active Directory的任何Active Directory(Domain_B)中引入新的用户。 有没有办法告诉LDS在哪个域中查找用户,还是总是查看它所在的域,可能是通过使用Kerberos之外的其他协议? +我想出用户configuration,不需要提及。 谢谢 !
我使用的是Windows 7,服务器是Windows 2008 R2。 到目前为止,至less有4个服务器显示这种行为。 有时我会在尝试通过RDP进行连接时收到警告,说明证书名称是错误的。 当我重新启动服务器时,此警告消失。 重新启动后,或2或3警告再次显示。 我总是只使用主机名连接。 当显示警告时,单点login不再起作用。 证书可能是自签名的或从我们的内部pki。 唯一的区别是当证书是自签名的时候,额外的“发布者不信任”警告。 当我使用fqdn时,我通过了证书检查,但是Kerberos SSO仍然不起作用。 哪里不对? 我怎样才能解决这个问题? 我如何debugging以获取更多信息? 重启后有什么变化,所以它再次工作?
在我们的大型企业环境中,我们有4台ISA 2006服务器。 用户(WinXP IE8)configuration了一个自动代理configuration脚本。 最近,PAC被修改为返回FQDN而不是ISA服务器的IP地址。 这是为了强制Kerberos身份validation,而不是NTLM。 这种改变已经造成了一些用户的间歇性问题。 通过SSL访问站点时,他们会从代理服务器获取多个提示进行身份validation。 并非所有用户都受到影响。 不同的网站受到影响。 有一次,代理服务器之一开始喷出“502代理错误,不支持缓冲区空间”。 它被重新启动,并恢复了业务。 我们可以最好地认识到,它与大型Kerberos令牌大小(我们是一个具有数百/数千AD安全组的大型操作)有关。 一些用户为Kerberosconfiguration了MaxPacketSize和MaxTokenSize。 有些不是。 我看到的两个问题用户都有这些设置。 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters] "MaxPacketSize"=dword:00000001 "MaxTokenSize"=dword:0000ffff 回滚PAC以使用IP地址(和NTLM)解决了用户的问题。 但是代理pipe理员仍然希望Kerberos出于以下原因: 为什么在IIS中使用Kerberos代替NTLM? 。 将这些registry设置推出给所有用户修复问题,还是这些设置问题的根源? 在ISA服务器上有一个设置需要调整,以匹配桌面上的令牌大小设置? 谢谢。
我有基于Kerberos的身份validation,我想只禁用它的根URL: http://mysite.com/ : http://mysite.com/ 。 而且我希望它可以继续在http://mysite.com/page1类的任何其他页面上正常工作。 我在.htaccess中有这样的事情: AuthType Kerberos AuthName "Domain login" KrbAuthRealms DOMAIN.COM KrbMethodK5Passwd on Krb5KeyTab /etc/httpd/httpd.keytab require valid-user 我只想closures根URL。 作为解决方法,可以在虚拟主机configuration中使用.htaccessclosures。 不幸的是我不知道该怎么做。 我的一部分vhost.conf: <Directory /home/user/www/current/public/> Options -MultiViews +FollowSymLinks AllowOverride All Order allow,deny Allow from all </Directory> UPD。 我正在使用Apache / 2.2.3(Linux / SUSE) 我试图使用这样的.htaccess版本: SetEnvIf Request_URI ^/$ rootdir=1 Allow from env=rootdir Satisfy Any AuthType Kerberos […]