我已经用mod_auth_kerb设置了Apache HTTPD 2.4,在Active Directory上创build了一个服务帐户,为我的http主机名添加了一个SPN,在linux机器上创build了一个keytab文件,并且SSO开始很好地为从IElogin到AD域的用户。 这一切都很好! 但是,每周左右,用户不是login到网站,而是得到一个http基本authentication提示,不接受他们的凭证。 查看httpd服务器日志,我们看到如下条目: [auth_kerb:error] [pid 8040] [client 192.168.100.100:54460] gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information (, Key version number for principal in key table is incorrect) 似乎发生的事情是AD上的KVNO(Kerberos密钥版本号)已经增加,所以他们的keytab是无效的。 我们可以通过这样做来看到: $ kinit '[email protected]' Password for [email protected] $ kvno HTTP/sso.example.com HTTP/[email protected]: kvno = 12 $ klist -k krb5-keytab Keytab name: […]
我是我的组织的程序员,但不知何故被起草到调查一些服务器的东西,所以原谅我的无知: 他们想让我们的销售人员使用他们的iPad安全访问我们的内部网站。 这必须是安全的(显然),但也可以从公司的一方撤销(如果有人退出,他们不能再访问我们的networking)。 我从http://support.apple.com/kb/HT1288看到iPad支持“RSA SecurID”,“CRYPTOCard”和“Kerberos”身份validation方法。 其中一个会做我们需要的吗? 他们之间有什么重大的区别?
假设我的域名上有一台已经被未知攻击者入侵的机器。 如果我使用域名凭证通过RDP远程login到该计算机,是否会将我的凭据公开给攻击者? 我知道AD在内部使用kerberos,但我不清楚RDP客户端是否直接从域控制器获取kerberos票据,或者是否将login信息发送到服务器,然后获取票据。 为了说明,运行mstsc的计算机是Windows 7,可能受到威胁的计算机是2008 R2。
简单的问题; 有没有一种方法可以configuration你的LDAP服务器,所以它只接受Kerberosauthentication并拒绝任何其他types。 我几乎100%肯定这可以做到,我只是不知道如何 – 在configuration文件中的东西毫无疑问。 干杯
所以NFSv4 acls不会忽略umask,据我所知。 与kerberos nfsv3有它自己的问题(与autofs – 与帕姆竞赛条件)自己的主机。 所以,如果我们想用autofs支持nfs的系统,那么支持哪些select。 我听说过AFS,但不适合我们所需要的。 (Autofs从三个不同的nfs主机为几千个用户装载主目录)。 ACLS用于访问存储库和其他目录给不属于同一组的用户,并且将它们添加到组中并不是一件容易的事(对于他们来说)。 我们最初使用nfsv3,但有安全问题和组问题(sysauth),所以我们去了nfsv4 kerberos它运作良好,直到我们试图做acls。 在nfsv3中,acls很好用,容易,我们可以设置默认掩码inheritance,但对于nfsv4,没有这样的function。
我们在这里有一些Ubuntu客户端,它们将安装受Kerberos保护的NFS家庭。 服务器与现有的客户端很好地工作,所以我们可以假设ldap和kerberos都可以。 我们设法在ubuntu客户端上configurationldap,kinit能够为我们获得ldap用户的门票。 当root用kinit获取root权限时,我们可以挂载nfs共享。 为了允许用户安装他们的家园,我们设置了autofs。 然而,这是行不通的,因为autofs似乎以“root”身份执行mount。 但是,root没有任何票据,因此挂载失败 – 请参阅rpc.gssd的附件日志摘录。 请注意,我们的kerberos安装程序不使用机器主体,而是使用用户主体。 我们如何获得autofs将正确的uid传递给gssd? handling gssd upcall (/var/lib/nfs/rpc_pipefs/nfs/clnt10) handle_gssd_upcall: 'mech=krb5 uid=0 ' handling krb5 upcall (/var/lib/nfs/rpc_pipefs/nfs/clnt10) process_krb5_upcall: service is '<null>' getting credentials for client with uid 0 for server purple.physcip.uni-stuttgart.de CC file '/tmp/krb5cc_554' being considered, with preferred realm 'PURPLE.PHYSCIP.UNI-STUTTGART.DE' CC file '/tmp/krb5cc_554' owned by 554, not 0 WARNING: […]
我在使Kerberos(Heimdal版本)与OpenLDAP很好地协作方面遇到了一些麻烦。 kerberos数据库被存储在LDAP本身中。 KDC以root身份使用SASL EXTERNAL身份validation来访问容器ou。 我希望这是这种问题的正确的董事会。 我使用kadmin -l在LDAP中创build了数据库,但是它不会让我在没有-l标志的情况下使用kadmin: root@rds0:~# kadmin -l kadmin> list * krbtgt/REALM kadmin/changepw kadmin/admin changepw/kerberos kadmin/hprop WELLKNOWN/ANONYMOUS WELLKNOWN/org.h5l.fast-cookie@WELLKNOWN:ORG.H5L default brian.empson brian.empson/admin host/rds0.example.net ldap/rds0.example.net host/localhost kadmin> exit root@rds0:~# kadmin kadmin> list * brian.empson/admin@REALM's Password: <—– With right password kadmin: kadm5_get_principals: Key table entry not found kadmin> list * brian.empson/admin@REALM's Password: <—— With wrong password […]
我在Windows上使用Kerberos(非Windows软件生成令牌)并尝试debugging问题。 在networking跟踪中,我可以看到由IIS服务器返回KRB5KRB_ERR_GENERIC。 电子数据字段应该包含问题的描述,但只包含这些字节: 30 0d a1 03 02 01 01 a2 06 04 04 33 01 00 c0 其中大部分是不可打印的。 这可以解密或是具体实现?
在IIS7上托pipe的SharePoint 2010,启用了Kerberos。 客户端通过Citrix在多台terminal服务器上login。 Kerberos正在处理几个客户端,所以SPN的定义是正确的,但在某些客户端上却不起作用。 问题 Windows身份validation在Internet Explorer中启用,提供程序协商(第一个)和NTLM(第二个) 适用于某些客户。 如果IE中启用了“集成Windows身份validation”,则发送Kerberos票证。 如果设置被禁用,则使用NTLM。 因此,如预期的那样。 在某些“不好的客户端”上,我会在+ – 20秒后得到“这个页面无法显示”(DNS /连接错误)。 如果我看着Fiddler,我只能看到来自Web服务器的401响应。 如果我在IIS中翻转提供程序,NTLM(第一个),Negotiate(第二个),它的工作原理! NTLM响应被发送。 如果我再将其更改为Negotiate(第一个),则NTLM(第二个)在IIS重置后仍然可用,直到从Citrix注销并开始; 然后再次“这个页面不能显示”。 该站点被添加到本地Intranet。 如果它在“坏客户”的NTLM上运行,我可以在右下angular看到“本地Intranet”。 在“好客户”Kerberos也在本地Intranet区域工作。 也尝试将“不良客户端”中的网站添加到可信站点,但这没有什么区别。 我不知道为什么它仍然不工作。 这个问题看起来像IE不希望以协商,NTLM作为身份validation响应HTTP / 401请求。 在一些客户头,但我真的不知道为什么不。 解决它。 好的,Kerberos和LDAP到DC在某些DC上是不可用的。 所以,改变防火墙设置解决了这个问题。
问题: 我正在尝试configurationLDAP邮件自动完成function – 2008R2域环境中Mozilla Thunderbird 17.0.5 @ Windows 7 x64的内置function。 该操作系统是一个新鲜的,在VBOX开箱即用的安装。 看来我无法使用Kerberos身份validation (本机SSPI)。 我已经正确configuration了LDAP参数 – 我已经设法validation在Thunderbird中使用“简单”身份validation模式(在哪个应用程序中要求用户手动input域凭据)。 在这种模式下,自动完成工作。 然而,每当我切换到Kerberos身份validation,我没有得到自动完成的结果。 VBox在地址字段中键入每个字母后显示一些networking活动,但不返回任何结果。 这对标准用户帐户和域pipe理员帐户都是一样的。 问题: 据我所知,这可能是Thunderbird的一个问题,或者是一个domain / kerberos问题。 根据谷歌的结果,Thunderbird的这个function并不是很stream行,但我读过的大部分内容似乎都certificate了这一点,在任何默认configuration的域环境下都可以工作。 由于域控制器是由以前的员工设置的,所以域的某些function可能被重新configuration或禁用。 我从来没有碰过内置的Kerberos。 谁能告诉我,我该找什么? debugging: 我试图debuggingThunderbird客户端,并得到一个日志,我发布在底部。 日志显示没有错误,尽pipe我对Kerberos的内部工作几乎一无所知,据我所知,客户端正在尝试进行身份validation( InitializeSecurityContext: succeeded ),但似乎从来没有收到任何答案。 然而TB也不会返回任何错误。 此外,无论我是否configuration了正确的Bind DN名称( [email protected]是正确的)或一些完全随机的字母,似乎日志几乎相同。 如果我在klist purge之后启动Thunderbird,似乎系统正确地获取新的票证( krbtgt\domain.mydomain.com和LDAP\dc02.domain.mydomain.com )。 Tunderbird日志: 0[e0f140]: nsAuthSSPI::Init 0[e0f140]: InitSSPI 0[e0f140]: Using SPN of [ldap/mydomain.com] 0[e0f140]: AcquireCredentialsHandle() succeeded. […]