对,所以我在Centos7中用PAM挣扎了一下。 我不知道如何手动configuration它,并使更改永久,以便我成功sshlogin后得到一张kerberos票证。 你可以看到的主要身份validation方法是winbind,我希望它保持这样。 到目前为止,我已经在使用authconfig自动生成的/etc/pam.d/system-auth中: auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth sufficient pam_winbind.so use_first_pass auth required pam_deny.so 在之前的版本中,我会添加: auth optional pam_krb5.so try_first_pass 任何想法如何在Centos7中做到这一点? 我不想使用Kerberos进行身份validation,因为它可能会弄乱密码更改中的所有内容。
我已经build立了一个简单的文件服务器与桑巴和Netatalk在CentOS 7.2上运行。 除了拒绝Samba进行身份validation的SELinux之外,所有事情都按预期工作,这是因为拒绝Kerberos票证的/var/tmp写入的策略。 这是一个SELinux问题,因为如果SELinux被禁用,并且在试图以允许模式安装SELinux的SMB时,那些条目出现在audit.log ,一切都按预期工作: type=AVC msg=audit(1466917992.944:493): avc: denied { write } for pid=3902 comm="smbd" name="DALARAN-044_0" dev="dm-0" ino=50452330 scontext=system_u:system_r:smbd_t:s0 tcontext=system_u:object_r:tmp_t:s0 tclass=file type=AVC msg=audit(1466917992.944:493): avc: denied { open } for pid=3902 comm="smbd" path="/var/tmp/DALARAN-044_0" dev="dm-0" ino=50452330 scontext=system_u:system_r:smbd_t:s0 tcontext=system_u:object_r:tmp_t:s0 tclass=file type=SYSCALL msg=audit(1466917992.944:493): arch=c000003e syscall=2 success=yes exit=39 a0=7fa840d08290 a1=2 a2=180 a3=7ffc93307cb0 items=0 ppid=3578 pid=3902 auid=4294967295 uid=0 gid=0 euid=0 suid=0 […]
我想configurationkerberized nfs,并导出/数据/书籍我有3台服务器:ipa,服务器,客户端我configuration了ipa并添加了nfs服务。 我的步骤是: 在ipa: ipa service-show nfs/server.linux.rhce.com ipa-getkeytab -s ipa.linux.rhce.com -p nfs/server.linux.rhce.com -k /etc/krb5.keytab 在服务器中: scp ipa:/etc/krb5.keytab /etc/krb5.keytab semanage fcontext -a -t krb5_keytab_t /etc/krb5.keytab restorecon -R /etc/krb5.keytab systemctl start nfs-server firewall-cmd –permanent –add-service=nfs firewall-cmd –permanent –add-service=mountd firewall-cmd –permanent –add-service=rpc-bind firewall-cmd –reload 并在/ etc / exports中 /data/books *(sec=krb5p,rw,no_root_squash) 在cleint中: scp ipa:/etc/krb5.keytab /etc/krb5.keytab semanage fcontext -a -t […]
在Active Directory中,什么将KDC的主体连接到相应的LDAP条目? 例如,我的KC主pipe可能是 Name[/Instance]@REALM john/[email protected] 我的LDAP条目可能是: dn: cn=john,dc=company,dc=com objectclass: somewhere 但Active Directory如何“连接”这两个? SRVlogging? 例如,当我login(即使用Kerberos)时,AD如何将我的Kerberos主体与我的LDAP条目匹配? 更新: 本MSDN文章接近回答这个问题,但没有清楚地解释stream程:“密钥分发中心(KDC)作为一个域服务实现,它使用Active Directory作为其帐户数据库和全局目录直接引用其他域中的KDC其中一个域的KDC位于域控制器上,Active Directory域也是这样,两个服务都可能是Kerberos的三种服务:AS,TGS和密码重置]由域控制器的本地安全机构(LSA)自动启动,并作为LSA进程的一部分运行。
我想build立一个Kerberos服务器来validation我们各种Linux服务器上的用户。 但是,Kerberos服务器所在的networking上已经有一个Windows 2k3域控制器。 有没有什么办法,这个Kerberos服务器可以干扰DC? 由于安全问题,我们不希望Linux机器对DC进行身份validation。 我已经设置了与Windows域不同的领域。 但是,这两个DNS域是相同的。 这一切都是必要的,这两个打好?
我正在使用运行LAMP堆栈的rhel5来创build一个Intranet。 我正在尝试使用IE和Firefox在我们的networking上实现与用户的SSO。 使用下面的模块,我能够成功地做到这一点: mod_auth_kerb所 我想更进一步,只允许根据小组成员进入某些地点。 我能够用mod_authz_ldap来实现这一点。 有没有一种方法可以一起使用,如果有的话,是否有任何例子? 以下是SSO Kerberos设置: <Location /sso/location> AuthType Kerberos AuthName "Please Login" KrbServiceName HTTP KrbMethodNegotiate On KrbMethodK5Passwd On KrbAuthRealms DOMAIN.LOCAL Krb5KeyTab /etc/httpd/keytab require valid-user </Location> 以下是仅允许组访问成员的设置: <Location /allowed/only/for/group> AuthType Basic AuthName "Please Login" AuthBasicProvider ldap AuthzLDAPAuthoritative on AuthLDAPURL "ldap://dc.domain.local:389/OU=Domain Users,DC=domain,DC=local?sAMAccountName?sub?(objectClass=*)" AuthLDAPBindDN "CN=ldapbinduser,CN=Users,DC=domain,DC=local" AuthLDAPBindPassword ldapbinduserpass require ldap-group CN=Staff,CN=Users,DC=domain,DC=local require ldap-group CN=Faculty,CN=Users,DC=domain,DC=local Satisfy […]
我有ASP.NET 2.0站点configuration为使用Kerberos委派执行Windows集成安全性。 包括DC的服务器在Windows 2003上运行,并将委派升级到Windows 2003级别。 顺便说一句,所有服务器都设置为EST 身份validation工作良好,突然服务器在系统日志中写入LsaSrv警告事件(事件ID 40960),抱怨服务器之间的时间差异。 在此期间,客户端会收到所有请求的401.2消息。 20-30分钟后,auth开始工作“神奇” 我运行了wireshark和fiddler跟踪,发现响应头中的时间戳是在GMT,即使服务器是在EST中configuration的。 我不确定这是怎么回事。 有任何想法吗? 任何其他build议非常感谢。
这可能是一些基本的东西,但我找不到一个特定的声明。 为什么不能KDCauthentication,然后直接提供服务票证。 是关于安全还是性能呢还是其他的东西? 由于用户在每次请求服务时都没有login,所以他们可能会长时间保持login状态,因此看起来并不那么繁忙。 为什么他们必须分开?
我一直在调用LogonUser Windows API函数的问题正在回落到NTLM身份validation ,而不是使用首选的默认Kerberos身份validation。 研究这个问题, 一个人有一个build议 : 要做的事情是弄清楚为什么代码首先使用NTLM而不是Kerberos,因为Kerberos是默认的,并试图查看是否可以改变它使用Kerberos。 想到几件事情: 客户机必须join域才能使用Kerberos 现在我从来没有听说过being domain joined to use Kerberos 。 要么你join到一个活动目录域,或不是,对不对? 在这种情况下,计算机join到Active Directory域,例如: contoso.local 这是什么意思是“ 域join使用Kerberos ”; 我如何确保我的机器?
我有一个从使用Kerberos进行安全保护的文件服务器导出的NFS树,并使用LDAP进行身份validation和uid / gidpipe理。 对于每个客户端机器和每个单独的用户,一切都可以顺利运行,但是我不确定如何将访问权限部分授予守护进程。 守护进程通常使用setuid来运行本地系统帐户,所以服务器上没有任何特定的凭据。 如果我可以进入并使用源代码,我通常可以让他们在启动时使用ktabber中存在的用户的keytab文件来调用kinit,但这并不总是可行的。 我们的环境禁止我通过使它们全世界可读,或者完全从NFS中删除Kerberos来破解事物。 我用all_squash , anonuid=…和anongid=… set来添加一个子树到/etc/exports ,但是这只是让每个客户端机器anongid=…读。 它只能被某个机器访问。 我尝试过使用samba,但是我们有一些守护进程使用“NFS或者bust”方法来处理共享(例如任何涉及mercurial的东西)。 我们的大多数服务器运行Ubuntu 10.04 LTS,但是这个问题也影响到我们拥有的12.04 LTS客户端。 有没有一种方法可以将整个系统授予特定Kerberos用户的系统范围的票证,以便该系统上的任何用户都可以随时访问该共享? 或者还有其他一些方法可以实现我可以调查的这种访问吗?