我想在Centos 6.3上用ldap后端运行kerberos在创buildRealm之后: kdb5_ldap_util -D "cn=admin,dc=example,dc=com" create -sscope sub -sf /var/kerberos/krb5kdc/example_stash.keyfile -r EXAMPLE.COM -s 我试图运行kdc ,得到: Starting Kerberos 5 KDC: krb5kdc: cannot initialize realm EXAMPLE.COM – see log file for details 日志显示这样的错误: krb5kdc: Error reading password from stash: Bind DN entry missing in stash file – while initializing database for realm EXAMPLE.COM krb5.conf文件: [logging] default = […]
我今天configuration了一些AuthnProviderAliases,我想添加Kerberos。 问题是,当我添加Kerberos Apache不会重新启动,我的系统日志中出现以下错误: 5月3日15:27:09姬路内核:[18882.364760] apache2 [13774]:segfault at 4 ip b72dacdd sp bfd4f5f0 error 4 in mod_authn_alias.so [b72da000 + 2000] 我已经遵循http://httpd.apache.org/docs/2.2/mod/mod_authn_alias.html#authnprovideralias上的语法,我有以下ldap不给错误: <AuthnProviderAlias ldap ldapa> AuthLDAPBindDN cn=apache,cn=Users,dc=samba,dc=my,dc=domain AuthLDAPBindPassword Test123 AuthLDAPURL "ldaps://192.168.142.1:636/dc=samba,dc=my,dc=domain?sAMAccountName" AuthType Basic </AuthnProviderAlias> 以下为kerberos: <AuthnProviderAlias kerberos kerb> AuthType Kerberos KrbMethodNegotiate on KrbMethodK5Passwd off KrbSaveCredentials off KrbAuthRealms SAMBA.MY.DOMAIN Krb5Keytab /etc/apache2/http.keytab </AuthnProviderAlias> 但是kerberos部分不起作用。 是否因为kerberos不是baseProvider?
据Synology DSM4.3的新闻稿可以做NFSv4和Kerberos。 实际上,在带有NFS设置的选项卡中,有一个用于Kerberos设置的button。 但我无法在任何地方find任何指导。 我有一个KDC运行在一个单独的主机上。 我希望NAS使用这个KDC来authentication用户 – 最好是从LDAP读取主体,这个主体已经被设置为提供用户名和组。 有没有人有经验如何做到这一点,或者至less已经看到了一个HOWTO,文档,…除了新闻稿之外的任何东西?
我有一个windows2003服务器(WINJOE),我想备份到一个Linux机器(LINUXJOE),正确地join到域的Windows共享。 我的目标是将WINJOE的共享文件夹备份到LINUXJOE,同时保持Windows的权限/所有者。 在阅读相关文献后,我觉得这是不可能的… 无论如何,在一个理想的世界中,我想在LINUXJOE上挂载一个win共享(只读),例如\\ WINJOE \ important_folder,并从那里运行rsync到备份目录。 我到目前为止: \ WINJOE \ important_folder – >共享文件夹进行备份 LINUXJOE:/ mnt / important – >在LINUXJOE上挂载\\ WINJOE \ important_folder LINUXJOE:/ backup / $ DATE-important – >备份目标目录 目前,我能够使用我的Windows域帐户login到LINUXJOE,如果我在LINUXJOE的文件系统上创build文件,它们将所有者显示为“somewinuser”域用户“”,因此从Windows到Linux的用户映射工作正常。 当我使用以下命令安装\\ WINJOE \ important_folder时: linuxjoe# mount.cifs //WINJOE/important_folder /mnt/important \ -o ro,user=backitup,dom=TODOMAIN,cifsacl,nounix –verbose 我得到: ls -latrh linuxjoe# ls -latrh /mnt/important total 518M -r-xr-xr-x 0 root […]
我遇到了Samba 4和Kerberos的问题。 如果我调用kinit ,它会在获取初始凭证时写入Kerberos数据库中找不到的客户端 。 我发现,Kerberos只与用户名一起工作,但是系统标识了域名和反斜杠作为前缀的所有域用户,Kerberos不喜欢它。 $ ssh user@machine #I don't need the domain name while logging in DOMAIN\user@machine$ kinit # does not work DOMAIN\user@machine$ kinit DOMAIN\user # does work neither DOMAIN\user@machine$ kinit user # works DOMAIN\user@machine$ id uid=2010(DOMAIN\user) gid=100(users) skupiny=100(users) DOMAIN\user@machine$ getent passwd # all domain users prefixed with 'DOMAIN\' 在由ls -l打印的文件列表中也是如此: -rw-r–r– 1 […]
第一次在这里问一个问题,所以我希望我是在正确的地方这样做。 我也在这里search类似的问题,但找不到类似的东西。 这是我的问题。 我们目前有一个git服务器(使用Gitorious),目前运行良好。 我被要求通过使用Kerberos进行身份validation来为Web界面添加一个额外的安全层。 所以我继续configurationApache,以便在用户尝试访问Web界面时使用mod_auth_kerb提示用户进行身份validation。 就networking界面而言,一切都很好。 然而,当试图从命令行拉/推任何东西,它会失败可怕。 这里是相关的信息: 在我的apacheconfiguration中,我尝试了以下两种方法,都产生了相同的结果: <Directory /home/git/active/> AuthName "Restricted Access Kerberos" AuthType Kerberos Krb5Keytab /etc/httpd/conf/httpd.keytab KrbAuthRealms TEST.COMPANY.COM KrbMethodNegotiate On KrbMethodK5Passwd On require valid-user </Directory> <Location /> AuthName "Restricted Access Kerberos" AuthType Kerberos Krb5Keytab /etc/httpd/conf/httpd.keytab KrbAuthRealms TEST.COMPANY.COM KrbMethodNegotiate On KrbMethodK5Passwd On require valid-user </Location> 以下是在尝试从命令行拉出时出现的内容: == Gitorious: ========================================================== Access denied or […]
我有一个设置和填充OpenLDAP的中央authentication服务器,Kerberos 5也被填充。 在Ubuntu LTS机器上,我设置了nslcd和kerberos客户端。 这样,发行 id gergely.polonkai 告诉我,我是gergely.polonkai(10000)在集体engineering(10000) 。 另外,发行 kinit gergely.polonkai 请求我的密码,并创build我的钥匙串(klist显示我的TGT)。 因此,我认为每一个位都可以正常工作。 但是当我joinkerberos的东西给帕姆: auth sufficient pam_krb5.so account sufficient pam_krb5.so session optional pam_krb5.so 日志说gergely.polonkaiauthentication成功,然后说gergely.polonkai是未知的底层authentication模块。 编辑 : getent passwd gergely.polonkai 给我正确的数据。 然而 getent shadow gergely.polonkai (什么都不是)。 编辑 : 添加shadowAccount objectClass给用户修正了阴影问题。 但是,原来的错误依然存在。 我错过了什么吗?
我最近不得不协助在Exchange CASarrays上设置Exchange Alternative Service Account(ASA)凭证。 我们确实得到了ASA正常工作,但是我有一些关于ASA Credientials如何工作的问题。 该scheme是我们需要启用Exchange CASarrays进行Kerberos身份validation。 我熟悉Kerberos,并知道在这种情况下,您需要在Active Directory中创build一个服务帐户,并将所有必要的SPN与该服务帐户关联起来。 此时,对于大多数负载均衡或群集服务,您将访问群集中的每个节点,并将服务configuration为负载平衡,以使用您创build的服务帐户。 configurationExchange CASarrays进行Kerberos身份validation时的确如此。 Microsoft提供了一个名为rollalternativeserviceaccountpassword.ps1的脚本,该脚本自动configurationCASarrays的所有成员上的服务,以使用您创build的服务帐户。 这里是关于这个过程的一些文件 http://technet.microsoft.com/en-us/library/ff808312(v=exchg.141).aspx 脚本工作,我们的arrays正在使用Kerberos,但脚本部署服务帐户的方式似乎是非常奇怪的。 运行脚本之后,我期待看到作为服务帐户运行的arrays成员上的各种Exchange服务和应用程序池,但是他们不是。 它们仍以其他本地系统或networking服务运行,而不是服务帐户名称。 我对Kerberos的理解告诉我这是行不通的,但显然是这样。 我做了更多的研究,并find了这篇文章。 http://technet.microsoft.com/en-us/library/ff808313(v=exchg.141).aspx 这表明,不pipe怎样,操作系统的行为已经发生了一些变化,以便LocalSystem和NetworkService都能像服务帐户一样行事,就像LocalSystem和NetworkService一样。 相关的段落在“解决scheme”部分。 除此之外,这个文件似乎几乎没有关于ASA如何工作的信息。 有人可以解释这是怎么完成的?
我尝试使用Kerberosconfiguration安全的hadoop。 我已经启动了KDC服务器,生成并复制相关的keytab到相应的节点。 kerberos可以正常工作(使用kinit),但是当我尝试启动namenode时,我插入一个奇怪的错误。 我修改了core-site.xml和hdfs-site.xml。 这里是我的core-site.xml 我试图寻找答案,但没有find一个合适的解决scheme,如果有人可以帮助,非常感谢 这里是错误日志: <?xml-stylesheet type="text/xsl" href="configuration.xsl"?> <!– Put site-specific property overrides in this file. –> <configuration> <property> <name>fs.default.name</name> <value>hdfs://Master.Hadoop:9000</value> </property> <property> <name>hadoop.tmp.dir</name> <value>/hadoop/tmp</value> <description>A base for other temporary directories.</description> </property> <property> <name>hadoop.security.authentication</name> <value>kerberos</value> <!– A value of "simple" would disable security. –> </property> <property> <name>hadoop.security.authorization</name> <value>true</value> </property> </configuration>core-site.xml 这里是我的hdfs-site.xml <?xml version="1.0"?> […]
我们在备份期间遇到问题(每天晚上运行)。 该备份由Veeam Backup&Replicationpipe理:从一台VMware ESXi主机复制7台虚拟机。 该主机链接到vCenter服务器。 此vCenter服务器已join到活动目录域。 Veeam B&R使用一个在vCenter中拥有足够权限的帐户。 这些备份在晚上9点,晚上10点和晚上11点运行,使用同一个Veeam服务器上的相同帐户到同一vCenter服务器。 前两个备份成功运行,但最后一个结束时出错。 这第三个备份拷贝了7个虚拟机。 前4个被复制,但后3个不是。 错误是login错误(用户或密码不正确)。 Veeam one(esx和veeam B&R monitor)在晚上11点报告login问题。 在vmware(vSphere 5.1.0)事件日志中,我们看到相同的东西。 查看vCenter(Windows Server 2008 R2)安全事件日志,我们什么都看不到。 在主域控制器(Windows Server 2003 R2)安全事件日志中,我们看到很多失败: 晚上9点和晚上10点:得到错误675(kerberos pre-authenthicate 0x19 =需要预authentication),然后成功672。 在下午11:02:得到错误675(kerberos预authentication0x25 =时钟skrew),其次是成功672。 在下午11:07:得到错误673(kerberos票失败代码0x25)没有成功。 这些备份从2周开始configuration。 我们星期一和星期三第一次失败(但星期二还好)。 我们不知道这个问题是否与vmware,veeam或kerberos相关。 我所有的服务器都是同步的 PS C:\Users\cedric> $t = ("veeamone","veeamserver","vcenterserver5","theorix","controlix","veeamproxy1","veeamproxy2") PS C:\Users\cedric> $t |%{ net time \\$_ | Select-String -Pattern "en cours" […]