我试图在Windows Server 2003上用Ktpass创build一个keytab: Ktpass -princ host/[email protected] -mapuser host -pass password -crypto rc4-hmac -out UNIXhost.keytab 我得到以下错误: crypto: enum value 'rc4-hmac' is not known. Error: argument for option "crypto" must be one of the following values: DES-CBC-CRC : for compatibility DES-CBC-MD5 : default Command line options: ———————most useful args [- /] out : Keytab to produce [- […]
我们有一个使用spring-security kerberos的tomcat服务器根据活动目录对网页进行身份validation。 有大约25个域控制器。 该网站有两个基于CNAME的DNS别名。 该网站目前有一个服务ID,其中包含为DNS Alogging注册的SPN以及每个CNAME。 虽然现在一切正在进行,但我不知道如何在没有可能的停机时间的情况下可靠地更改此configuration。 原因是客户cachingkerberos票据: http://www.juniper.net/techpubs/en_US/uac4.2/topics/concept/user-role-active-directory-about.html 'kerbtray.exe'程序有助于在端点上查看和删除Kerberos票据。 如果更新了SPN或更改了密码,则必须从端点清除旧故障单(假设端点仍然具有从先前的SPNEGO请求到MAG系列设备的故障单的caching副本。在testing期间,您应该在每次authentication请求之前清除故障单。 用于检查/删除高速caching票证的“klist”程序的说明: http : //technet.microsoft.com/en-us/library/hh134826.aspx 因此,如果每个连接到我的Web服务器的客户端(运行Windows的用户)在更新SPN或密码后立即生成kerberos票证,那么我如何确保更改是无缝的? 有没有可以安全地完成的操作? 我不能要求所有用户安装klist并删除他们的旧票。
目标:使用Apache / mod_auth_kerb使用自定义的krb5.conf文件,而不是系统标准/etc/krb5.conf 。 问题:我有一个强大的治理环境,我们的应用程序所有者能够在其分配的目录中configurationapache实例,但基线configuration(OS和Apache核心)由一个单独的组维护。 因此,我对核心configuration(如/etc/krb5.conf进行的任何更改都意味着要将更改复制到数千个服务器(风险+)或为此服务器(risk +,$ +)编写自定义系统configuration的脚本。 成功模式:为了调用kinit来testing或者ktutil在这个环境中生成供Apache使用的keytab文件,重载KRB5_CONFIG环境variables(在StackOverflow中讨论:通过kinit定制一个krb5.conf文件 ) 问题:无论如何要为Apache指定KRB5_CONFIG环境variables或强制mod_auth_kerb使用其他configuration? 失败的尝试:我已经尝试在apachectl重新启动时运行相同的env命令。 Apache指令SetEnv被忽视,因为它适用于基于用户请求的脚本执行,而不是Apache的“后台”function。
在寻找login到Active Directory的samba机器的原因很慢的原因时,我有一个很强烈的印象,即我的日志文件中的以下错误可能是一个提示。 Apr 3 14:44:14 eu2 winbindd[19632]: [2014/04/03 14:44:14.166820, 0] ../source3/libads/sasl.c:994(ads_sasl_spnego_bind) Apr 3 14:44:14 eu2 winbindd[19632]: kinit succeeded but ads_sasl_spnego_krb5_bind failed: Cannot contact any KDC for requested realm 每个连接有大约5到20个条目,我想了解问题的出处。 经过几天寻找最接近我可以来是另一个SF问题 ,这表明可能的DNS问题。 事实: 1 / kinit工作,我得到一张票 root@eu2:~# klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: [email protected] Valid starting Expires Service principal 04/03/2014 13:55:24 04/03/2014 23:55:24 krbtgt/[email protected] renew until […]
背景: Web服务器运行LAMP堆栈 Web服务器在总部有通往ADnetworking的VPN通道 遍布全球的多个ADnetworking具有到总部networking的VPN隧道和信任关系 在web服务器上configurationKerberos身份validation,并使用keytab文件工作于所有networking 我是networkingpipe理员,但无法访问任何ADnetworkingconfiguration 当用于访问我们的networking服务器的PC绑定到有问题的AD时,我们遇到了一个只有IE或Chrome才能显示的ADnetworking的问题。 没有令牌被传递,并且在与令牌协商相关的服务器日志中没有条目。 如果我们使用Firefox并启用network.negotiate-auth选项,则用户可以毫无问题地login,但是当使用IE时,他们会得到授权所需的错误。 该网站位于Intranet区域,IWA被检查(由GPO控制) 如果用户尝试使用IE或Chrome从AD以外访问该站点,则会出现预期的身份validationlogin提示,然后会正确发送令牌。 我已经和networkingpipe理员说过了,他们确信AD没有特殊的configuration来确保Kerberos身份validation的正常工作,但是我不明白为什么身份validation可以用于其他六个ADnetworking,并且如果不是这样, ADconfiguration本身。 我错过了什么吗? 什么可以解释谈判令牌的失败? [注意 – 这不是紧急的,而我现在离开办公室的时候,将会在星期一回答任何关于更多细节的请求]
在以前版本的Mac OS X中,当用户通过关注支持文档login时,可以启用Kerberos身份validation。 具体来说,这个文件解释了文件/etc/pam.d/authorization需要被编辑来启用它。 升级到Mac OS X10.10后,该文件不再存在,并且KB文章没有更新。 有没有新的(更好?)的方式来启用此function?
我有一个生产服务器,我打电话给CONTOSO\MachineA ,运行SQL Server。 我有一个开发服务器,我打电话给CONTOSO\MachineB ,运行IIS。 这两个服务器都运行Windows Server 2008.我有一个域用户,我将打电话给CONTOSO\MyAppSvc 。 我有两个CNAMElogging, myapp => MachineA和myappdev => MachineB 。 我的目标是让(intranet)客户端连接到MachineB上的IIS并通过Windows身份validation进行身份validation,然后让应用程序模拟它们并以MachineA身份连接到SQL。 MachineB正在运行SQL Server的另一个实例进行testing,并且通过运行SELECT * FROM [MachineA].[My App DB].App.SomeTablevalidationSQL是否设置了正确的双跳validationSELECT * FROM [MachineA].[My App DB].App.SomeTable via SSMS (on MyWorkstation) => SQL Server (on MachineB) => SQL Server (on Machine A) 。 MyApp上IIS上的MyApp使用模拟和Windows身份validation(仅协商)进行设置,并在运行MyAppPool中运行。 system.webServer/ security/ authentication/ windowsAuthentication @useAppPoolCredentials为true, @useKernelMode为false。 MyAppSvc和MyAppSvc都被委托给无约束的委托。 MyAppSvc上有两个SPN: HTTP/myapp和HTTP/myapp.contoso.local […]
我在这里有一台CentOS 6机器,并且希望为来自另一个森林的用户提供SSH访问,这是值得信赖的。 我得到了一个临时解决方法,即: 1)将/etc/pam.d/vncserver中的内容更改为 auth include password-auth 2)添加这两行/etc/pam.d/password-auth auth sufficient pam_krb5.so use_first_pass realm=NEW.DOMAIN.NET password sufficient pam_krb5.so use_authtok realm=NEW.DOMAIN.NET 所以看起来这样: %PAM-1.0 This file is auto-generated. User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth sufficient pam_krb5.so use_first_pass auth […]
如何启用和查看Windows Server 2012上的Kerberos请求日志? 我有IIS 8.5运行在Windows服务器2012 R2上。 我想看到与Kerberos相关的成功和失败消息(就像你可以在其他/早期版本的Windows上)。 我已经启用此项:HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ Kerberos \ Parameters(LogLevel = 1)(并重新启动) IIS仅在“供应商”部分启用“协商”的情况下设置为Windows身份validation。 当Kerberos成功时,我在安全日志中看不到成功审核事件。 在Kerberos日志方面,我看不到太多。 我在系统事件日志中看到一个偶然的错误,但没有别的。 在Windows 2012 R2中可以收集和查看Kerberos事件吗? 如果是这样,怎么样?
我有一种情况,我试图利用GSSAPI(Kerberos)转发连接到另一个也join到Windows AD并使用SSSD的Linux服务器。 Linux机器使用与服务器的实际FQDN不同的机器名称join域。 当我用我的域名证书login到第一台机器时,PAM成功了,我发出了一个有效的令牌。 它显示与klist 。 但是,即使在另一台已join域的Linux主机上启用了SSH上的GSSAPI和Kerberoslogin之后,我仍然得到“在kerberos数据库中找不到服务器”的客户端错误,并退回到使用密码身份validation。 我正在通过-K来启用Kerberos令牌转发。 如果我的内存服务正确,这可能是由于AD中的Kerberos服务器(在这种情况下是Kerberos服务器)中的SPN问题,而Linux机器与我正在连接(或从中)连接的实际机器的FQDN以不同的机器名称连接我不确定,需要一些帮助指引我在正确的方向。