我为没有专门的系统pipe理员的小公司工作。 我的任务是将我们的文件和日历服务器升级到10.8,这是我通过升级操作系统,然后从app store安装服务器工具(苹果推荐)来完成的。 Kerberos无法正常工作。 服务器有一堆存储在Open Directory中的networking用户。 当我试图屏幕共享服务器,它使用幕后的Kerberos进行身份validation,我得到一个无效的密码通知。 最初它在Got a canonicalize request for a LKDC realm from local-ipc时失败了,并且说它找不到一个LKDC领域。 我遵循这些说明来重新生成服务器上的LKDC: 重复sudo rm -rf / var / db / krb5kdc sudo rm -rf /etc/krb5.keytab 打开钥匙串访问并search'kdc',然后删除3个com.apple.kerberos.kdc项目。 运行命令重新安装LKDC sudo / usr / libexec / configureLocalKDC,这是非破坏性的,所以可以重新运行而不会造成任何困扰。 重新绑定客户端到服务器。 之后,当我尝试login到从另一台Mac上共享屏幕时,系统日志会说明这一点: kdc[48]: AS-REQ amy@LKDC:SHA1.3489A33F133BAF273138432326E52616444378EA from fe80::cabc:c8ff:fec5:4b93%en0:53175 for krbtgt/LKDC:SHA1.3489A33F133BAF273138432326E52616444378EA@LKDC:SHA1.3489A33F133BAF273138432326E52616444378EA kdc[48]: UNKNOWN — amy@LKDC:SHA1.3489A33F133BAF273138432326E52616444378EA: no such […]
我build立了一个ubuntu服务器,它正在对我们的W2k8域的活动目录进行validation。 一切顺利,我看到所有的用户在getent passwd和wbinfo。 我希望能够在机器上使用Kerberos和winbindauthentication,所以一切正常。 但是,当我用AD用户login服务器时,我只是看到motd,而不是得到一个promt,我再次登出。 auth.log Feb 28 15:34:48 server sshd[12635]: Postponed keyboard-interactive for micha from 10.10.10.121 port 36519 ssh2 [preauth] Feb 28 15:34:50 server sshd[12637]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ub64-it.city.domain.org user=micha Feb 28 15:34:50 server sshd[12637]: pam_krb5(sshd:auth): pam_sm_authenticate: entry (nonull) Feb 28 15:34:50 server sshd[12637]: pam_krb5(sshd:auth): (user micha) attempting authentication […]
我想用Kerberosvalidationsshlogin,但是失败。 以下是使用命令ssh -vvv localhost的sshdebugging信息片段。 debug3: Wrote 80 bytes for a total of 1125 debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password debug3: start over, passed a different list publickey,gssapi-keyex,gssapi-with-mic,password debug3: preferred gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive,password debug3: authmethod_lookup gssapi-keyex debug3: remaining preferred: gssapi-with-mic,publickey,keyboard-interactive,password debug3: authmethod_is_enabled gssapi-keyex debug1: Next authentication method: gssapi-keyex debug1: No valid Key exchange context debug2: we did not […]
我有一个使用Apache在Linux计算机上运行的网站。 我已经使用mod_auth_kerb进行针对Windows Active Directory服务器的单点loginKerberos身份validation。 为了使Kerberos正常工作,我在Active Directory中创build了一个名为dummy的服务帐户。 我使用以下命令在Windows AD服务器上使用ktpass.exe生成了Linux Web服务器的密钥表: ktpass /out C:\krb5.keytab /princ HTTP/[email protected] /mapuser [email protected] /crypto RC4-HMAC-NT /ptype KRB5_NT_PRINCIPAL /pass xxxxxxxxx 我可以使用以下命令成功从Linux Web服务器获取票据: kinit -k -t /path/to/keytab HTTP/[email protected] …并使用klist查看票证。 我还用这些Kerberos属性configuration了我的Web服务器: <Directory /> AuthType Kerberos AuthName "Example.com Kerberos domain" KrbMethodK5Passwd Off KrbAuthRealms EXAMPLE.COM KrbServiceName HTTP/[email protected] Krb5KeyTab /path/to/keytab Require valid-user SSLRequireSSL <Files wsgi.py> Order deny,allow Allow […]
我试图让Ubuntu 12.04上的Apache通过Kerberos SSO将用户身份validation到Windows 2008 Active Directory服务器。 以下是一些使我的情况不同的事情: 我没有Windows服务器的pipe理权限(我也没有权限访问)。 我也不能对我的服务器做任何修改。 我已经使用PBIS打开,将Ubuntu服务器joinActive Directory。 用户可以使用他们的AD证书login到Ubuntu服务器。 kinit也适用于每个用户。 由于我无法更改AD(除了添加新机器和SPN),我无法在Ubuntu上添加Apache的服务帐户。 由于我无法添加I服务帐户,因此我必须使用机器密钥表(/etc/krb5.keytab),或者至less在另一个密钥表中使用机器密码。 现在我正在使用机器keytab,并给予Apache只读访问(坏主意,我知道)。 我已经使用net ads keytab添加了HTTP -U 由于我使用的是Ubuntu 12.04,在“net ads keytab add”中添加的唯一编码types是arcfour-hmac,des-cbc-crc和des-cbc-md5。 当PBISjoin域时,PBIS将AES编码types添加到主机和cifs主体,但是我还没有得到“net ads keytab add”来执行此操作。 ktpass和setspn是不可能的,因为上面的#1。 我已经configuration(用于Kerberos SSO)并testing了IE 8 Firefox。 我在我的Apache站点configuration中使用以下configuration: <Location /secured> AuthType Kerberos AuthName "Kerberos Login" KrbMethodNegotiate On KrbMethodK5Passwd On KrbAuthRealms DOMAIN.COM Krb5KeyTab /etc/krb5.keytab KrbLocalUserMapping On require valid-user </Location> […]
我试图在CentOS 6.4机器上安装Kerberosauthentication的NFS共享。 我试图从另一个CentOS 6.4机器和我们的NetApp导出受保护的共享,结果相同。 CentOS机器和NetApp都join到我们的Active Directory(2012)域。 我可以使用AD凭证SSH进入CentOS机器。 诸如kinit,msktuil等工具的工作。 我已经使用mskutil来生成客户端的keytab文件。 AD中的计算机帐户具有计算机,根,nfs等的主要logging。时钟全部同步到域控制器。 我在下面的rpc.gssd输出中看到它没有find一个键,但是它继续find根键。 下一行似乎表明它没有find它在前面的行中find的键? 蜂房的头脑可以帮我在这里find我吗? 我觉得我已经接近有事情了 客户端上的/etc/krb5.keytab文件的相关位如下所示: 5 12/02/13 16:14:14 [email protected] 5 12/02/13 16:14:14 root/[email protected] 5 12/02/13 16:14:14 root/[email protected] 5 12/02/13 16:14:15 root/[email protected] 5 12/02/13 16:14:15 NFS/[email protected] 5 12/02/13 16:14:15 NFS/[email protected] 5 12/02/13 16:14:15 NFS/[email protected] 5 12/02/13 16:14:15 NFS/[email protected] 5 12/02/13 16:14:15 NFS/[email protected] 5 12/02/13 16:14:15 NFS/[email protected] […]
如果我部署一个服务器调用FOO/host.example.com@myrealm客户如何知道服务名称是FOO? ENV:Unix / MIT kerberos 1.4或1.10 我看到窗户有一些映射: 主机/机器SPN到底如何工作? 那么unix呢?
我知道Kerberos使用encryption提供身份validation。 我看到它交换会话密钥。 用于应用程序的会话密钥是否在执行身份validation后通过networkingencryption发送其数据? 举一个例子来说明: 如果我将我的telnet服务器和客户端连接起来,那么我的客户端和服务器会话也会被encryption(大概使用前面提到的会话密钥)(例如,嗅探器看不到我在会话中input的命令)? 我看到,基于HTTP的SPNEGO Kerberos不会遵循这一点,而且需要使用SSL来保护会话。
我试图找出什么机票选项也是在这个事件注销我的域控制器。 这是对kerberosauthentication请求的回应。 AgentDevice=WindowsLog AgentLogFile=Security PluginVersion=7.1.3.613248 Source=Security Computer=DOMAINCONTROLLERHOSTNAME User=SYSTEM Domain=NT AUTHORITY EventID=672 EventIDCode=672 EventType=8 EventCategory=9 RecordNumber=95767528 TimeGenerated=1418246782 TimeWritten=1418246782 Level=0 Keywords=0 Task=0 Opcode=0 Message=Authentication Ticket Request: User Name: 1234567 Supplied Realm Name: MYREALM.COM User ID: DOMAIN\1234567 Service Name: krbtgt Service ID: MAPLE\krbtgt Ticket Options: 0x50800000 <————- Result Code: – Ticket Encryption Type: 0x17 Pre-Authentication Type: 2 Client […]
我使用realmd / sssd将服务器join到MS Active Directory中。 我用mod_auth_kerb安装了apache,并在 Windows服务器上创build了一个keytab 。 但是,我需要将更多的SPN添加到密钥表中 。 我曾尝试使用KADMIN,但我得到一个错误: root@server /etc/httpd# kadmin -p admin@domain -q "ktadd -k /etc/httpd/krb5.keytab HTTP/service1.domain" Authenticating as principal admin@domain with password. Password for admin@domain: Password for admin@domain: kadmin: Database error! Required KADM5 principal missing while initializing kadmin interface 我一直在网上search,但像往常一样,我真的很难find任何有用的kerberos。 身份validation似乎正在工作,虽然我缺less校长; [Wed Dec 30 12:06:49.076912 2015] [auth_kerb:error] [pid 5246] [client […]