我知道Kerberos可以使用PKI ,PKI 提供encryption和authenticationfunction , Kerberos的devise更多是用于身份validation而不是encryption , Microsoft通过“使用Active Directory作为其帐户数据库”来实现 Kerberos KDC,Active Directory允许您使用证书而不是密码 。 所以如果你使用X.500目录和PKI,为什么要使用Kerberos呢? 难道你不能保持X.500的非Kerberos任务(例如,与memberOf组成员查询),并用PKIreplaceKerberos?
我已经为testing目的设置了Ubuntu。 – 安装MIT kerberos(最新) – 安装OpeenSsh(最新) 我已经安装了KerberosAuthentication和pam_krb5types的身份validation以及GSSAPIAuthentication。 一切都很好。 当我只安装使用“KerberosAuthentication”或“pam_krb5”我看到主机/的请求: Nov 20 00:09:11 kdcname krb5kdc[12476](info): AS_REQ (2 etypes {16 17}) 192.168.1.104: NEEDED_PREAUTH: [email protected] for krbtgt/[email protected], Additional pre-authentication required Nov 20 00:09:11 kdcname krb5kdc[12476](info): AS_REQ (2 etypes {16 17}) 192.168.1.104: NEEDED_PREAUTH: [email protected] for krbtgt/[email protected], Additional pre-authentication required Nov 20 00:09:11 kdcname krb5kdc[12476](info): AS_REQ (2 etypes {16 17}) […]
我试图使用Mac Xserve运行10.4.11来访问Win2k8机器上的文件共享,但是由于Kerberos身份validation错误而失败。 任何想法如何修复/更新Mac? 顺便说一句,这是20年来我第一次处理的Mac,所以对我来说都是新的。
这是可能(或两者)heimdal或kerberos异构networkinglogin 即 unix kdc运行MIT kerberos或heimdal客户端(服务)到kdc bsd / linux客户端(通过身份validation服务的例子authenticate或ssh)windows / bsd / linux 遇到很多讨论这个问题的文本,至less对我来说,它从来没有给出明确的答案,做出这个决定时我需要思考什么?
我需要在CentOS 5.3主机上configurationftpd,以允许匿名ftp(上传和下载)从一个明确定义的目录。 我希望设置尽可能简单,并尽可能less地引入新的依赖关系。 扫描当前的服务器configuration,我发现作为Kerberos工作站的一部分的ftpd服务器: > rpm -ql krb5-workstation | grep ftpd$ /usr/kerberos/sbin/ftpd 有什么理由我可以或不应该使用这个FTP服务器?
我有一个OpenSolaris服务器(运行snv_128a),我已经(a)join到Active Directory域,(b)configuration为通过CIFS导出一些文件系统: # sharemgr show -vp default nfs=() zfs zfs/rpool/export/public nfs=() smb=() rpool_export_public=/export/public 我可以使用用户名和密码成功访问此共享: $ smbclient //muadib/rpool_export_public Enter lars's password: Domain=[SEAS] OS=[Windows NT 4.0] Server=[NT LAN Manager 4.0] smb: \> 我有有效的Kerberos凭据。 例如,我可以使用GSSAPIauthenticationssh到相同的OpenSolaris框: $ ssh -v muadib . . . debug1: Next authentication method: gssapi-with-mic debug1: Delegating credentials debug1: Delegating credentials debug1: Authentication succeeded (gssapi-with-mic). 但是我无法使用Kerberos访问CIFS共享: […]
我们有一个主要是Linux服务器和客户端的networking,我们最近从NIS迁移到Kerberos和LDAP。 其中一个主要原因是使用Kerberos来保护我们的NFS共享。 这一切都很好。 现在我们确实有一些windows客户端,我们希望以比使用WinSCP更舒适的方式使NFS共享可用。 据我所见,NFSv4不适用于Windows,更不用说支持Kerberos了。 这就离开了桑巴。 问题是Samba需要Kerberos凭据来访问NFS共享。 他们不知何故必须来自Windows。 用于Windows的MIT Kerberos客户端正常工作。 但是我不知道Samba是否可以使用来自客户端的证书,或者也可能只是取得密码并使用它来对KDC进行身份validation。 如果可以做到的话,怎么样?
当我ssh DOMAIN \用户@ localhosts名称身份validation正常工作通过gssapi-with-mic: debug3: remaining preferred: gssapi,publickey,keyboard-interactive,password debug3: authmethod_is_enabled gssapi-with-mic debug1: Next authentication method: gssapi-with-mic debug2: we sent a gssapi-with-mic packet, wait for reply debug3: Wrote 112 bytes for a total of 1255 debug1: Delegating credentials debug3: Wrote 2816 bytes for a total of 4071 debug1: Delegating credentials debug3: Wrote 80 bytes for a […]
我有一个运行xcopy作为启动脚本的一部分的问题。 服务器操作系统是Windows 2008 R2,客户端操作系统是Windows XP SP3。 文件服务器主机名:filesrv1 DNS别名(CNAME):filesrv 正在通过启动脚本执行的命令是: xcopy /s/e/c/i/h/y "\\filesrv\lab$\JH117\documents and settings\default user" "c:\documents and settings\default user" 如果我将服务器名称更改为filesrv1,那么在使用filesrv时不起作用。 一旦启动并login,我可以映射它,并使用这两个名称读/写/执行文件。 我做了registry和serviceprincipal名称更改如下面的文章中所述,但仍然有问题。 有任何想法吗? http://support.microsoft.com/kb/281308
我们公司主要运行Linux服务器,但主要是Windows客户端。 我正在寻找一个解决scheme,允许我们的所有Web应用程序都有一个login门户(一旦你login了,你不必login到下一个应用程序)加上有相同的用户名和密码服务器login和电子邮件login。 另一个问题是权限。 一个想法设置将允许我给不同的资源不同的访问权限。 因此,例如,拥有pipe理权限的源代码pipe理员不能在Linux服务器上以root身份login。 目前所有的Linux服务器上的root密码是相同的,我们不使用SSH的公共密钥(我知道我应该这样做,我正在研究) 我知道Exchange需要使用ActiveDirectory,所以我想知道是否有一个解决scheme,将允许我在ActiveDirectory的顶部添加所有这些function。 我已经做了一些研究, 这可能会涉及我们的Web应用程序的门户网站。 但是我仍然在其他方面亏损。 我知道这是要求很多,我只是想感受一下那里的东西。