设置场景:我们的一个技术人员设置了一个域控制器来使用Microsoft时间。 时间是正确的(包括时区)和DOES匹配其他域控制器的时间; 这是以前不正确,但是。 自更改以来,没有用户可以通过\\ servername \ share或\\ servername.domainname.com连接,但\\ ip \ share可以正常工作。 我甚至无法从其他域控制器访问它,我知道它们都有相同的时间。 服务器名称parsing为正确的IP地址。 另外,奇怪的是,\\ domainname.com也可以parsing到相同的服务器上。 最后,我尝试过的所有东西都parsing为相同的正确的IP地址。 错误是: login failure: The target account name is incorrect. 我相信这是时间相关的,但因为时间是正确的,我不确定。 任何人都知道是什么原因造成的
我为我的域名build立了一个通用的Kerberosauthentication。 之后,它工作正常,没有任何问题。 但是用户不能使用Linux命令更改密码。 在这个分析上,我在/var/log/auth.log得到了下面的错误: bharathi passwd [3715]:pam_unix(passwd:chauthtok):authentication失败; logname = test uid = 1000 euid = 0 tty = ruser = rhost = user = test 来自Kerberospipe理服务器的响应。 May 11 16:44:48 bharathi krb5kdc[28795](info): AS_REQ (4 etypes {18 17 16 23}) 192.168.27.50: NEEDED_PREAUTH: [email protected] for kadmin/[email protected], Additional pre-authentication required May 11 16:44:48 bharathi krb5kdc[28795](info): AS_REQ (4 etypes {18 […]
我需要validationAD用户login到他们的工作站,只有当他们属于安全组在authentication的时刻。 在他们实际input密码(他们需要满足某些要求)之前,他们被添加到这个特权组中,然后他们login,一分钟后他们被从组中删除。 我以为我可以用“login本地”GPO – 它几乎工作,直到用户被从特权组中删除。 这是他失去对共享资源的访问权限。 所以我的问题是 – 如何影响使用安全组成员资格的唯一身份validation过程(而不是整个交互式会话)。 我只关心在身份validation时他是否是这个特权组的成员。 谢谢你的任何build议。
我有一个CentOS 6.4机器,它是用pam_ldap和pam_krb5设置的。 它被configuration为使用我们的Active Directory服务器进行身份validation。 我可以使用AD帐户SSH进入机器。 我还没有设置任何一种keytab文件。 我在CentOS机器上为AD用户设置了一个crontab,它每分钟将一些数据写入一个文件。 作业正在写入的文件夹位于NFS共享中,并且该文件夹已locking,以便只有特定AD组的成员才能访问该文件夹。 有问题的AD用户是该组的成员,在CentOS机器上没有本地帐户。 当AD用户未login时,cron如何继续以AD用户身份运行作业?
我的客户端/服务器都运行ubuntu 14.04,kerberos用户身份validation按预期工作。 普通的nfs4坐骑也能正常工作。 所有机器都运行heimdal库。 我一直没有能够得到kerberized nfs4工作。 安装共享时,我得到以下日志: 客户: # mount -t nfs4 -o sec=krb5 server:/ /mnt/tmp -vvvvvv mount: fstab path: "/etc/fstab" mount: mtab path: "/etc/mtab" mount: lock path: "/etc/mtab~" mount: temp path: "/etc/mtab.tmp" mount: UID: 0 mount: eUID: 0 mount: spec: "SERVER:/" mount: node: "/mnt/tmp" mount: types: "nfs4" mount: opts: "sec=krb5" mount: external mount: argv[0] […]
有没有可能在linux机器上configurationldap + kerberos身份validation,而不join到Windows域? 我必须创build一个使用RHEVM的虚拟机池,其寿命相当短,我不想每隔一段时间join/删除它们。 而且我强烈不希望只为less量的虚拟机安装辅助ldap。 有任何想法吗?
我在Ubuntu 14.10上安装Squid3,我想用windows kerberos 5在windows server 2012上集成ADDS。我的基础架构如下: 默认网关: 192.168.1.1 DNS和域控制器(Windows Server 2012): dc.mydomain.com address 192.168.1.250 netmask 255.255.255.0 gateway 192.168.1.1 代理(Ubuntu桌面14.10)vmproxy address 192.168.1.251 netmask 255.255.255.0 gateway 192.168.1.1 dns-search mydomain.com dns-nameservers 192.168.1.2 步骤如下 第1步:检查DNS查找:其正向和反向查找工作正常。 第2步:在代理服务器上configuration正确的时区: $ sudo service ntp stop $ sudo ntpdate -b dc.mydomain.com $ sudo service ntp start 步骤3:安装Kerberos客户端库并将Kerberos领域名称设置为MYDOMAIN.COM $ sudo apt-get install krb5-user 第4步:编辑Kerberosconfiguration文件/etc/krb5.conf。 [libdefaults] […]
我试图解决一个OS X的OD问题,我很难find什么具体的数据在客户端和服务器之间如何stream动。 具体来说,我很想知道当用户在“系统偏好设置”中更改密码时究竟发生了什么。 能够find关于特定防火墙端口和数据移动方向的具体信息将是一件非常美妙的事情。
我目前正在将我们的环境从NIS切换到Kerberos + LDAP。 在此迁移过程中,我现在遇到以下情况。 我们通过NFS安装我们的家,显然也应该是kerberized。 但是,由于我们的用户都在terminal服务器上login,通常不会注销,而是挂起其会话,或者在后台长时间运行作业,这导致Kerberos票据迟早失效,从而导致NFS共享不可用。 自动为用户更新这些票证的最佳select是什么? 另外,我希望为用户离开时还能继续工作的情况做好准备(这可能需要比最长的Kerberos更新时间更长的时间),因此我需要为该用户获取一个全新的票证。 在这种情况下,如果不大量延长票证的默认最大续订时间,最佳select是什么?
在我唯一的Windows域中,Kerberos用于所有身份validation。 我理解的域控制器使用RPC进行复制和身份validation。 LDAP是否用于其他任何东西? 我应该closures所有服务器和客户端上未使用的389 LDAP端口吗? Active Directory是否使用用于授权,查找等的LDAP?