众所周知,IE不喜欢对在DNS中注册为CNAME的主机执行Kerberos操作。 会发生什么事是IE转身,并使用主机的底层Alogging查找服务主体名称(SPN)。 在testingnetworking上,我们可以通过为主机的Alogging注册SPN来获得Kerberos的工作,以便在通过浏览器中的CNAME访问Web服务器时成功发生Kerberos身份validation。 使用URL中的Alogging主机直接访问Web服务器时,Kerberos身份validation正常工作,但由于各种原因,我无法控制,因此需要使用CNAME。 在生产networking上,这个相同的configuration失败,但我不明白为什么。 有什么想法吗? 这是一个使用SPNEGO库的java web应用程序 – 而不是IIS。 Kerberos身份validation在testingnetworking和生产networking中都可以正常工作(并且已经确认不会故障回到NTLM),但是CNAME访问只能在testing中使用。
我有一个域名。 我们称之为example.com 。 有一个服务器 – 服务器A – 它有托pipe设置,而example.comconfiguration为它的域名。 意思就是parsingexample.com ,会得到服务器A的IP。 我有另一台服务器 – 服务器B – 这是一个不同的服务器。 它被configuration为sub.example.com 。 我希望sub.example.com保持颠覆,使用LDAP作为用户目录。 在configurationLDAP和Kerberos时,我在哪些情况下使用哪些域? 意思,Kerberos的境界是什么? example.com或sub.example.com ? 我在ldap dc部分configuration什么? 是dc=example,dc=com还是dc=sub,dc=example,dc=com ? 有关我想要详细介绍的更多解释,请参阅如何在ubuntu 11.04上configurationldap服务器? (用于颠覆和trac)
我需要一个cron作业来使用scp和kerberosvalidation跨服务器传输文件。 作业的系统用户在两台机器上的/ etc / passwd中,并且已经为Kerberosauthentication创build了一个有效的keytab(带有-randkey)。 cron作业脚本调用kinit,然后是scp,然后是kdestroy。 但是,除非将/ etc / passwd中的/ sbin / nologin更改为有效的shell(例如/ bin / bash),否则scp将无法工作。 问题1:这是一个安全漏洞来指定一个shell? 问题2:这是做到这一点的“正确”方法吗? 提前致谢
SSO不能使用OpenSSH – 我无法使GSSAPIAuthentication与Kerberos一起使用。 每次我尝试login,我不断得到密码提示。 在故障排除期间,我发起了一个debugging: [foster@kvm0007 ~]$ kinit Password for [email protected]: [foster@kvm0007 ~]$ ssh -p222 -K [email protected] -vvv OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010 debug1: Reading configuration data /home/users/foster/.ssh/config debug1: Reading configuration data /etc/ssh/ssh_config debug1: Applying options for * debug2: ssh_connect: needpriv 0 debug1: Connecting to kerberos.monzell.com [192.168.15.100] port 222. debug1: Connection established. debug1: identity […]
我在Ubuntu操作系统的机构上设置了Kerberos和LDAP进行目录pipe理。 我正确地configuration了LDAP和Kerberos。 用户的主目录位于LDAP目录中。 用户login时,authentication过程授予用户访问计算机的权限。 但是他们没有获得对LDAP分区的写权限,导致桌面环境(DE)无用。 从命令行键入klog并提供密码可以解决问题,但是从DE开始,打开terminal键入klog永远不会有任何变化。 当然,预期的行为是在login时调用klog,以便用户直接访问他们的LDAP目录。 我错过了一个包吗? 或者我应该在login过程中添加klog? (如果是的话,在哪里?)
我无法弄清楚在服务器2008系统上导致大规模审计失败的原因。 the event id is 4771 Account Name: Administrator Service Name: krbtgt/DOMAIN.NAME Client Address: ::1 Client Port: 0 Pre-Authentication Type: 2 日志以大约5分钟的间隔发生,并且logging至less30个故障事件。 它似乎来自本地机器,是一个kerberosauthentication问题,但我不知道如何追查/纠正这个问题。 机器上的服务: DNS Active Directory DHCP WSUS VIPRE enterprise 我已经检查了系统上的所有计划任务,一切似乎都很好。 我检查了VIPRE和WSUS上的密码以查找无效的密码。 不知道发生了什么事。 谢谢。 附加:此事件日志出现在我的主要和辅助DC … TargetUserName Administrator TargetSid S-1-5-21-2134851818-3285922005-2538191131-500 ServiceName krbtgt/JEWELS.LOCAL TicketOptions 0x40810010 Status 0x18 PreAuthType 2 IpAddress ::1 IpPort 0 CertIssuerName CertSerialNumber […]
是否可以将Windows服务器和工作站(Windows 7)configuration为仅使用Kerberos进行身份validation,而不使用NTLM进行域中的身份validation? 有人告诉我,如果通过IP地址访问目标系统,Kerberos身份validation将失败。 那里有成功或失败的故事吗?
在我们公司存在一个全林的UPN后缀company.com ,几乎所有的用户帐户都将显式的UPN设置为[email protected] 。 该值也在Active Directory userPrincipalName属性中设置。 现在我们有一个应用程序,用户通过Kerberos执行身份validation。 所以我们给了Kerberos主体,即隐含的UPN。 我们希望查找该用户并检索多个LDAP属性。 由于iUPN和userPrincipalName不匹配,查找是不可能的。 是否有任何“官方”的方式来检索从活动Direcory映射? 我的解决方法是针对领域组件执行LDAP绑定,并search与iUPN的用户ID组件匹配的sAMAccountName属性。 在林中search单纯的sAMAccountName是不可能的,因为该值在域中是唯一的。
我在一个域环境中工作,由Windows 2008主机上的Active Directory提供服务。 我是一个普通的“域用户”,没有特殊的权限,将无法得到任何。 当试图设置我自己的Linux系统通过SSH与Kerberoslogin时,我遇到了一个麻烦:我不能添加一个forms的主体:主机/ @ DOMAIN 这使我想到了这个问题:是否有任何方法来获得单点login(SSO)function? 如果没有,是否有其他一些机制来完成SSO? (我猜这需要build立自己的内部KDC)。
请和我一起裸照,因为我对这些技术还很新鲜。 我们有一个Debian(挤压)服务器,我有root权限。 它正在运行Apache,并将Redmine部署到服务器(当前使用本地MySQL数据库进行身份validation)。 Apache被configuration为使用Kerberos和keytab文件来针对Active Directory对用户进行身份validation。 使用当前configuration,只要用户尝试通过https访问任何内容,就会提示用户input用户名/密码,该用户名/密码已经通过Active Directory成功进行了身份validation。 我(有点)了解Redmine有自己的LDAPconfiguration,可以用来对照现有的Active Directory对用户进行身份validation,但是这需要用户input他们的凭证,一次inputApache,然后第二次inputRedmine。 我可以以某种方式将Redmineconfiguration为共享Apache身份validation方法,而不是要求用户第二次input凭据? (使用Apache对Active Directory进行身份validation是服务器上单独应用程序的要求)