我在Windows 2012R2域控制器的安全事件日志中logging的平均每小时17-18次失败审核事件与Windows 2008R2成员服务器获取Kerberos服务票据的尝试有关 A Kerberos service ticket was requested. Account Information: Account Name: [email protected] Account Domain: ACME.COM Logon GUID: {00000000-0000-0000-0000-000000000000} Service Information: Service Name: krbtgt/ACME.COM Service ID: S-1-0-0 Network Information: Client Address: ::ffff:192.168.1.15 Client Port: 28904 Additional Information: Ticket Options: 0x60810010 Ticket Encryption Type: 0xFFFFFFFF Failure Code: 0xE Transited Services: – This event is generated […]
我将Windows 2008 R2 DC和企业根CA迁移到新的Windows 2016 DC和CA. 一切似乎都很稳定,除了我有几个RODC和可写入的DC在CA中显示“失败请求”以便自动注册Kerberos身份validation证书。 错误是: 事件ID:13 本地系统的证书注册未能从CAServer.domain.com \ domain-CAServer-CA(RPC服务器不可用。0x800706ba(WIN32:1722))注册KerberosAuthentication证书,请求ID为1052。 随着: 事件ID:6 本地系统的自动证书注册失败(0x800706ba)RPC服务器不可用。 所有其他自动注册从这些DC工作,并且大多数DC不会出现这种行为,包括KerberosAuthentication证书在内的所有证书都可以正常注册。 什么是导致这些特定的客户端失败自动注册这个KerberosAuthentication证书?
我正在尝试设置一个简单的Kerberos环境,在这个环境中,客户端服务器通过Kerberos服务器对Web服务进行身份validation(在我的情况下是OpenSSH)。 我在KDC上生成了一个keytab文件,但是我不太确定哪个服务器复制文件。 我只需要将其复制到提供服务的机器上,或者也要复制到想要对服务进行身份validation的客户机上?
我们有 auth optional pam_krb5.so try_first_pass 在 /etc/pam.d/password-auth-ac 和 /etc/pam.d/system-auth-ac 但是当我成功login后,我得到一个klist klist: No credentials cache found (filename: /tmp/nnnnn) 这可能是什么原因? 身份validation和会话堆栈: auth required pam_env.so auth sufficient pam_fprintd.so auth required pam_tally2.so deny=12 unlock_time=3600 auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth optional pam_krb5.so try_first_pass auth sufficient pam_sss.so forward_pass auth required pam_deny.so session optional […]
我有一个经典的ASP网站VB6后端。 VB然后使用MSXML2在同一台服务器上调用Web服务。 这适用于我们所有的服务器,但只有一个 如果我将Web服务站点设置为接受匿名login,则会起作用,但是如果我只强制集成安全性,MSXML将返回“拒绝访问”错误。 我假设凭证没有从此服务器上的VB后端传递到Web服务。 这可能会发生什么原因? 编辑:这是我得到的错误消息。 当我从服务器或其他计算机访问网站时,我正在获取它。 如果我直接去web服务一切正常。 2009-07-16 13:56:47 W3SVC1 <IP Address> POST /reportprint/reportprint.asmx – 80 – <IP ADDRESS> Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.4506.2152;+.NET+CLR+3.5.30729) 401 2 2148074254
我正在设置Kerberos,我有一些奇怪的问题。 我正在testing两个用户谁拥有一个有效的SPN和信任委派(user1)和一个谁没有一个有效的SPN,不信任委派(user2)。 testing在服务器上和客户端上执行。 用户被设置在应用程序池级别。 这是目前的工作方式 From the server: Using IP to access Application running under user1: Negotiate and chooses NTLM Using domain name to access Application running under user1: Kerberos Using IP to access Application running under user2: Negotiate and chooses NTLM Using domain name to access Application running under user2: Negotiate and chooses NTLM […]
我有一个使用OpenLDAP的用户信息和Kerberos身份validation的工作良好的设置,但我们也需要Windows集成,为此我们决定进入Active Directory可能是一个好主意。 从OpenLDAP移动帐户信息是相当简单,容易完成,但我有一个问题:如何将密码/身份validation信息从MIT Kerberos移动到AD? 我理解他们之间的某种代表是可能的,但这不能解决我的问题? 或者我可以对MIT Kerberos KDC进行ADauthentication吗? 密码存储在Kerberos中的哈希中,所以我不能移动它们的明文。 我不知道MIT和AD之间的哈希是否兼容,因为我也可以以密码forms将密码input到AD中。 有没有人有这方面的经验? 除了要求我的所有用户更改密码,并且在所有authentication从一个地方切换到另一个地方而没有任何共存的情况下都有一个麻烦之外,您的build议是什么?
当我将我的Windows XP(SP3)笔记本电脑带回家时,我仍然可以login为我的域帐户,因为Windows在域控制器不在时会cachingvalidation身份所需的信息。 但是,当我尝试从SQL Server Management Studio连接到本地SQL Server(2008)集成服务时,它会生成SSPI上下文错误。 唯一的办法是,如果我用VPN连接到办公室或者我在办公室的域控制器。 我同时在本地计算机帐户下运行SQL Server代理和SQL Server集成服务10。 看来,从Management Studio中连接到Integration Services的唯一select是使用Window身份validation。 当我没有连接到办公室时,有没有办法做到这一点? 为什么这些服务不像Windowslogin一样使用caching信息? 谢谢。
我试图在Fedora Core 13上设置和configurationOpenLDAP。我已经编译和安装OpenLDAP v2.4.23了 。 每当我尝试运行一个LDAP命令(如ldapsearch ),我得到以下错误信息: SASL/GSSAPI authentication started ldap_sasl_interactive_bind_s: Local error (-2) additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Credentials cache file '/tmp/krb5cc_0' not found) 我在Google上查了这个,一个解决scheme似乎是configurationKerberos,首先使用kinit正常工作。 但是,我不希望Kerberos在我的系统上。 是否有可能使OpenLDAP根本不使用Kerberos? 我是否需要编译一个合适的选项? 还是我必须在OpenLDAP中使用 Kerberos?
当我必须在公司工作我的机器时,我注意到我login到一个域名(以公司名称命名),而不是真的在那台电脑上。 从我所了解的这个有几个好处,主要是我只需要一个域的密码,可以通过公司的任何一台机器工作。 我的问题是: 必须安装桌面/networking上的哪些软件才能使桌面识别并让我selectlogin到域中。 我猜想一个软件可以安装在桌面上,在那里我们可以configuration公司的域名服务器的IP地址和端口号,它处理authentication。 它是否正确? 这就让我想到另一个问题,那就是如何在公司的terminal机器上安装软件。 从pipe理员的angular度来看,物理安装和安装看起来非常的自由。 一个明显的解决scheme是通过networking安装软件(和更新)。 我的问题是: 当pipe理员通过networking安装操作系统,软件,从pipe理员机器更新到最终机器时,什么协议,关键字出现在屏幕上。 谢谢,