我试图弄清楚自己,但无济于事。 谷歌提供了许多教程,但我无法find任何下面的情况。 我们有一个外部合作员工,可以通过VPN访问我们的局域网,他需要访问我们的一些Web应用程序。 他的工作站在Windows 7 Professional下运行。 Web应用程序只能接受基于Kerberos的SSO身份validation – 由于安全策略,密码身份validation被禁用,并且无法更改。 Kerberos AS / KDC由Windows Server 2008 R2级别域提供,其工作站不是其成员。 我们如何从他的工作站上configurationKerberos身份validation而不将其添加到域中 ? 到目前为止,我只用于使用Kerberosconfiguration基于UNIX的系统。 在Windows下我可以想到两个不同的解决scheme: 安装外部Kerberos库(例如Windows的MIT Kerberos ) – 我假定configuration过程类似于基于UNIX的(即编辑krb5.conf ,设置默认领域并启用基于DNS的KDC定位)。 configurationWindows内置的Kerberos客户端,无需将工作站添加到域 – 我不知道这甚至是可能的。 我们需要让SSO在Mozilla Firefox中工作。 假设我们使用第一个解决scheme,我假设我们应该将network.negotiate-auth.gsslib设置为外部的Kerberos DLLpath。 这个设置可以按预期工作吗? 从上述选项中,后者是非常受欢迎的,因为我们希望避免外部依赖和可能的不兼容。
我试图将鱿鱼作为我的用户在活动目录中的Web代理。 我在这里跟着鱿鱼网站的教程。 当我运行命令: msktutil -c -b "CN=Administrator" -s HTTP/proxy.example.com -k /etc/squid3/PROXY.keytab \ –computer-name SQUIDPROXY-K –upn HTTP/proxy.example.com –server acdc.example.com –enctypes 28 –verbose 我得到了错误: SASL / GSSAPI身份validation已启动 错误:ldap_sasl_interactive_bind_s失败(本地错误) 附加信息:SASL(-1):通用失败:GSSAPI错误:未指定的GSS失败。 次要代码可能提供更多信息(在Kerberos数据库中找不到服务器) 错误:ldap_connect失败。 文件/etc/squid3/PROXY.tab也没有被填充。 我在互联网上search,但我无法find任何有关这个问题。 这是我的configuration文件: 的/etc/krb5.conf [logging] default = FILE kdc = FILE admin_server = FILE [libdefaults] default_realm = DOMAIN.COM dns_lookup_kdc = no dns_lookup_realm = no ticket_lifetime = […]
当Apache httpd尝试访问使用sec=krb5p自动挂载的用户目录(可能还有其他sec=krb选项)时, gssproxy发出失败消息,Web服务器使用403 Forbidden答复。 gssproxy上的debugging选项没有足够的照亮。 要排除没有RPCGSS问题,在/ tmp中存在由uidNumber 48(apache)拥有的有效KRB5CC时,不会发出403 ,Web服务器将显示相应的页面。 但是,这是由于rpc.gssd的行为。 gssproxy仍然发出相同的失败消息。 gssproxy: gp_rpc_execute: executing 6 (GSSX_ACQUIRE_CRED) for service "nfs-client", euid: 0, socket: (null) gssproxy: gssproxy[639]: (OID: { 1 2 840 113554 1 2 2 }) Unspecified GSS failure. Minor code may provide more information, No credentials cache found # cat /etc/gssproxy/gssproxy.conf [gssproxy] [service/HTTP] mechs = […]
好的,所以我在我的智慧结束。 我们有一个在我们的UAT环境(而不是HA)中完美工作的系统,但不能在现场工作。 所以configuration是: dns对iis框的logging 绑定在iis上:80到dnsname HTTP / dnsname SPN HA SQL 2014群集 dynamic端口closures 在TCP / IPconfiguration中指定的标准端口1433 命名pipe道启用 所有在整个集群上运行SQL的服务帐户现在都是一样的(MSA),我认为这可能是问题,哎呀! 我现在有 – 可能太多的SPN注册了这个东西: setspn -l chdom\msaBOXSQL01SVC$ Registered ServicePrincipalNames for CN=msaBOXSQL01SVC,CN=Managed Service Accounts,DC=chdom,DC=mydomain,DC=local: MSSQLSvc/BOXSQL-APPDB01 MSSQLSvc/BOXSQL-APPDB01:1433 MSSQLSvc/BOXSQL01:1433 MSSQLSvc/BOXSQL02:1433 MSSQLSvc/BOXSQL03:1433 MSSQLSvc/BOXSQL03 MSSQLSvc/BOXSQL02 MSSQLSvc/BOXSQL01 MSSQLSvc/BOXSQL-APPDB01.chdom.mydomain.local:1433 MSSQLSvc/BOXSQL03.chdom.mydomain.local:1433 MSSQLSvc/BOXSQL02.chdom.mydomain.local:1433 MSSQLSvc/BOXSQL01.chdom.mydomain.local:1433 MSSQLSvc/BOXSQL-APPDB01.chdom.mydomain.local 任何人都可以看到我在这里做错了什么,我觉得我在这个阶段有谷歌失明
我已经build立了一个专门的网页开发学习实用的房间。 用户帐户由Samba 4 ADpipe理,用户文件存储在中央NFS服务器上,导出由Kerberos进行证实。 一切正常: 用户可以通过Kerberos进行身份validation(并在login时收到一张票) 家庭使用NFS4(sec = krb5) 权利正确地适用于所有域用户 但是,我需要在每个客户端上安装一个localhost-only的服务器(用php和其他东西),并激活userdir。 我爬了互联网,但似乎只有极less数人与我处于同一个configuration。 我试过所有我发现像创build一个SPN和一个Apache专用密钥表: # samba-tool spn add HTTP/client1.domain client1$ # samba-tool domain exportkeytab httpclient1.keytab –principal=HTTP/client1.domain 并在client1上的/ etc / apache2中导出这个生成的keytab,但是如果我尝试在此keytab上执行kinit:#kinit -k -t /etc/apache2/client1http.keytab HTTP / client1.domain kinit:Client“HTTP / client .domain @ REALM“在获取初始凭据时未在Kerberos数据库中find keytab似乎是正确的: # klist -kt /etc/apache2/client1http.keytab KVBO Timestamp Principal —- ——————- —————————- 4 29/07/2016 16:12:38 […]
我有一个同事在testing环境中设置了一个ADFS服务器,并给ADFS服务器一个别名。 host name test-server.tdom.com alias test-adfs.tdom.com 服务器正在特定的AD用户帐户下运行。 答复方信托已经build立起来信任别名。 我们已经能够为主机名称设置SPN,如下所示 setspn -s HTTP/test-server.tdom.com Admin setspn -s HTTP/test-server $ 但是,如果他试图注册,那不是别名。 setspn -s HTTP/test-adf $返回一条消息,指出“account test-adf $ can not be found”。 同样我们不能让IWA运作。 有谁知道如何设置别名的SPN。
我在添加NFS服务到IPA服务器时遇到了问题(login到IPA服务器和kinitpipe理器后)。 当我执行下面的行时: [root@ipa ~]# ipa service-add nfs/server1.example.com 我收到错误 ipa: ERROR: Host does not have corresponding DNS A/AAAA record 我已经正确configuration了3台服务器,并在IPA服务器Centos 7.2中安装了FreeIPA。 我的IPA服务器configuration IP4.ADDRESS 192.168.1.105/24 IP4.GATEWAY:192.168.1.1 ipv4.dns:8.8.8.8 [root@ipa ~]# vim /etc/resolv.conf # Generated by NetworkManager search example.com nameserver 8.8.8.8 也正确configurationserver1 [root@ipa ~]# ipa host-show Host name: server1 Host name: server1.example.com Principal name: host/[email protected] Password: False Keytab: False […]
我试图用PAM和Kerberos设置Winbind来对活动目录进行validationCentOS 7。 到目前为止,这是我所做的: yum -y install authconfig krb5-workstation pam_krb5 samba-common oddjob-mkhomedir yum -y install samba-winbind-modules authconfig –disablecache –enablewinbind –enablewinbindauth –smbsecurity=ads –smbworkgroup={DOMAIN-NETBIOSNAME} –smbrealm={My.DOMAINCOM} –enablewinbindusedefaultdomain –winbindtemplatehomedir=/home/{my.domain.com}/%U –winbindtemplateshell=/bin/bash –enablekrb5 –krb5realm={MY.DOMAIN.COM} –enablekrb5kdcdns –enablekrb5realmdns –enablelocauthorize –enablemkhomedir –enablepamaccess –updateall kinit -v my.username 我尝试获取Kerberos票据时收到以下错误消息: kinit:validation凭证时未find凭证caching文件“/ tmp / krb5cc_0” 所以我试了 touch /tmp/krb5cc_0 && chmod 777 /tmp/krb5cc_0 && kinit -v my.username 由此产生的错误是: kinit:validation凭据时凭据caching中的格式不正确 我也尝试创build一个本地用户与AD用户具有相同的名称,我试图用相同的结果进行身份validation。 […]
我们在哥斯达黎加有一个分支机构,那时候我们已经使用AD实施了一个SSO代理服务器,并且SSO工作正常。 就在最近,我们在现场实施了一个RODC。 一旦发生了,没有人能够validation,我无法解决这个问题。 我删除了用于kerberos身份validation的AD对象,并运行以下命令: msktutil -c -b "CN=COMPUTERS" -s HTTP/PROXY.domain.com -k /etc/squid3/PROXY.keytab –computer-name PROXY-K –upn HTTP/PROXY.domain.com –server dc1.domain.com –verbose 该命令实际上在AD中创build对象,但不设置密码。 我得到以下错误: 错误:krb5_set_password_using_ccache失败(无法联系所请求域的任何KDC)错误:set_password失败 我确信这台机器可以parsing域控制器。 在这一点上,我迷路了。 已经争取了一个月的这个开关,真的可以使用一些指导。 我有其他四个相同的鱿鱼代理不坐在RODC后面,完美的工作。
我们的NFSv4文件服务器使用由Active Directorypipe理的Kerberos身份validation。 我需要在一个Docker容器中运行一个批处理进程来访问保存在文件服务器上的数据。 在容器内,我已经尝试过使用AD进行身份validation,然后挂载NFS文件系统,但是我无法访问系统上的任何文件。 从容器外部,我可以在主机上挂载NFS文件系统,但是如果我将它作为一个卷附加到一个容器上,容器将无法访问任何文件。 什么是正确的方法来做到这一点? 这甚至有可能吗?