我已经成功安装了nagios,它通过apache2提供身份validation,通过联系Kerberos身份validation服务器来validation用户身份。 现在,用户已经过身份validation,但是他们没有任何授权,因为在cgi.cfg上configuration了cgi.cfg ,我不想一个接一个地手动configuration我的所有用户,也没有授予每个经过身份validation的用户的所有权限。 我想知道是否可以在cgi.cfg文件(如nagios_reader,有权观看Web界面,主机和服务状态,nagios_writer,能够运行外部命令)而不是用户上设置组。如果这些组可以从LDAP中提取。
我想知道是否有一种方法来设置SSH Kerberos身份validation,而根本不使用DNS服务器?
我可以使用klog来更新我的AFS令牌,但我想知道是否有一个等效的命令来查看我的AFS令牌的剩余生命周期。
我工作在Windowsnetworking中设置桑巴。 目标是来自Active Direcotry的Windows用户使用他们的密码loginsamba共享。 我不确定在这个设置中,AD服务器和Samba服务器是否必须在同一个networking中? 是强制性的? 我之间有ping,但在不同的networking。 谢谢
我正在尝试Kerberos并搞砸了安装。 我试过编辑configuration文件,但没有解决我的问题,目前不能够初始化领域,不能创build一个pipe理员目录的喜悦。 我已经尝试了sudo apt-get purge krb5-kdc krb5-admin-server删除软件包。 但是当我尝试重新安装时,它会在系统上find剩余的configuration文件(我找不到任何地方),而且我也有相同的错误。 重新启动服务器也不能解决问题。 这是一个实验机器,我没有备份(也许我应该)。 我如何恢复到Kerberos之前的状态?
我们有一个.Net Windows服务,使用Httplistener并使用Kerberos来validation请求。 当用户通过浏览器连接时,用户事件日志中的错误显示Kerberos事件ID 4: Kerberos客户端从服务器$ username $收到一个KRB_AP_ERR_MODIFIED错误。 目标名称是HTTP / $ servername $。$ domain $ .com.au。 这表明目标服务器无法解密客户端提供的票证。 当目标服务器主体名称(SPN)在目标服务正在使用的帐户以外的帐户上注册时,可能会发生这种情况。 确保目标SPN只在服务器使用的帐户上注册。 如果目标服务帐户密码与Kerberos密钥分发中心为该目标服务configuration的密码不同,也会发生此错误。 确保服务器和KDC上的服务都configuration为使用相同的密码。 如果服务器名称不完全合格,并且目标域($ domain $ .COM.AU)与客户端域($ domain $ .COM.AU)不同,请检查这两个域中是否有相同名称的服务器帐户,或者使用完全限定的名称来标识服务器。 由于某种原因,它所报告的服务器是运行该服务的用户。 第一行: Kerberos客户端从服务器$ username $收到一个KRB_AP_ERR_MODIFIED错误。 每一个网站(包括服务器故障)都修复了这个错误与SPN问题,但它始终有一个服务器名称的错误。 用用户名无法find上述信息。 我们已经尝试了不同的用户,并且更改了错误消息的上述部分。 所有的域帐户都有同样的问题。 如果我们将服务作为本地系统帐户运行,则不存在此问题,但这会导致我们在服务中出现其他问题(它需要其他权限的域帐户)。 我们没有,从来没有与我们尝试过的用户名同名的任何服务器。 有没有人看到这个问题,用户名出现在这里? 什么是修复? 所有的服务器都是Windows 2012(不是R2)。
我在服务器2012 R2上设置了ADFS和WAP,以便login到SharePoint 2013.我遵循几个方法,除了一件事之外似乎都很好:当我login到ADFS表单时,它确定,然后我login到一个空白页。 所以我看了一下WAP日志,然后返回这两个错误信息: ID = 13019由于以下常规API错误,Web应用程序代理无法代表用户检索Kerberos票证:提供的名称不是正确形成的帐户名称。 (0x80070523)。 ID = 12027 Web应用程序代理在处理请求时遇到意外错误。 错误:提供的名称不是正确形成的帐户名称。 (0x80070523)。 根据technet这是如何解决: “ 域控制器拒绝了由Web应用程序代理创build的Kerberos票据,请确认Web应用程序代理和后端应用程序服务器的configuration是否正确configuration,尤其是SPNconfiguration,确保Web应用程序代理已join到同一个域作为域控制器,以确保域控制器与Web应用程序代理build立信任关系。确保Web应用程序代理和域控制器上的时间和dateconfiguration是同步的。 但是我不知道他们为什么要join域中的WAP服务器,因为这个服务器应该在DMZ和WORKGROUP中。 在WAP服务器上的date和时间不好,所以我修改了它,现在好了。 我没有将服务器join到域中,并且使用正在运行我的SP Site的AppPool的域帐户来设置SPN。 我仔细检查DNS,HOSTS文件,证书,帐户…我找不到任何错误。 我想知道: 我是否需要添加任何帐户在WAP服务器上的通配符证书上读取私钥的权限 ? 在ADFS服务器上,只有adfs服务帐户对证书(pv密钥)具有正确的读取权限,用于运行应用程序池的纯SP域帐户有权读取证书的pv密钥。 如有需要,请询问更多细节。
我正在尝试使用syncrepl为LDAP设置复制服务器。 我想使用Kerberos来validation消费者,因为我们已经设置好了,而且看起来更安全。 我的提供者和消费者的数据库定义如下。 当我启动消费者,我得到这个错误: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Credentials cache file '/tmp/krb5cc_55' not found) 我认为这意味着消费者没有有效的TGT。 如何configuration消费者以获得有效的TGT? 我读过一些推荐使用k5start或cron作业的较旧的源代码。 这仍然是做到这一点的方式吗? slapd.conf手册页指出authcid和authzid可以和bindmethod=sasl一起使用,但是它没有指定如何格式化这些页面。 我应该在这里放一个DN还是一个kerberos校长或者其他的东西? 我需要指定这些吗? 感谢您的帮助 消费者configuration: database bdb suffix "dc=example" rootdn "uid=someuser,cn=realm,cn=gssapi,cn=auth" directory /var/lib/ldap dirtyread overlay syncprov syncprov-checkpoint 100 10 syncprov-sessionlog 100 syncrepl rid=1 provider=ldap://provider.realm type=refreshAndPersist starttls=yes searchbase="dc=example" schemachecking=off bindmethod=sasl saslmech=gssapi […]
对于安装在两个单独的服务器“Server1”和“Server2”上的WCF服务“SuperService”,是否可以有一个单独的SPN标识string,WCF客户端“SuperClient”可以引用? 这样,SuperClient可以使用托pipe在Server1或Server2上的服务,而无需知道哪个服务器正在托pipe正在连接的实例,但不必更改其标识string。
是否可以使用kadmin(Linux)从Active Directory服务器添加/远程SPN? 我正在尝试在Active Directory服务器上添加一些服务原理,并将密钥存储在本地密钥表中(在Linux机器上)。