我们有几台Linux机器(运行各种版本的Fedora和CentOS,但不应该是相关的)与本地用户。 这些本地用户中的大多数是相同的login名,但可能根据创build时间和创build人的不同而具有不同的UID / GID。 我们要消除这种情况,并在FreeIPA上落户 如何将现有的本地Linux用户映射到FreeIPA用户? 只是为了更加清楚:鉴于我有一个本地用户在机器上称为abc和FreeIPA用户名为abc ,并且ook被设置为一个FreeIPA主机,可以访问ook ,当我ssh到ook作为abc时(通过ssh abc@ook ),然后提示inputFreeIPA的密码。 更好的是,因为我为用户abc定义了一个公钥,所以我应该在没有密码的情况下login,只要我在ook上进行身份validation和授权。 ~abc是在本地帐户(在FreeIPA被引入之前)中存在的任何东西,而不是具有相同login名但是不同UID / GID的另一个帐户。 这可能吗? 显然,这与https://serverfault.com/q/754922/132934有关。
我一直在尝试configurationkinit来对Windows Active Directory PDC进行身份validation。 但不断得到结果: kinit: Realm not local to KDC while getting initial credentials 我的krb5.conf有: [libdefaults] clockskew = 300 default_realm = XXX.COM [realms] XXX.COM = { kdc = pdc01.aaa.bbb.xxx.com default_domain = XXX.COM kpasswd_server = pdc01.aaa.bbb.xxx.com } [domain_realm] server01.www.yyy.xxx.com = XXX.COM .yyy.xxx.com = XXX.COM .xxx.com = XXX.COM xxx.com = XXX.COM server01.www.yyy.xxx.com是一个红帽服务器,我正在运行kinit。 我没有控制PDC。 但是在redhat服务器上有pipe理员权限。 我真的不确定这是否是一个可行的设置,我对Kerberos的理解是有限的。 我会很感激任何指导。
在大多数Linux发行版附带的MIT Kerberos实现中,我可以定义我想用于票证请求的encryptiontypes。 我不是一个Windows的家伙,但显然,Kerberos作为一个整体在这里提供了很多select,Windows AD只提供这些的一个子集。 有谁知道当前的Windows 2003企业域控制器将接受和提供的实体types? 我似乎无法find一个确定的清单。 更新:我已经能够提炼出Windows不支持3DES。 即使MS TechNet说Unix客户端通常不支持RC4,即使我的RHEL3客户端也是如此。
我正在尝试SharePoint,我已经安装了MOSS2007试用版。 我在安装过程中select了Kerberos身份validation方法。 它安装了一切,当我试图从IE浏览器中央pipe理网站,我得到401.1错误。 在安全事件日志中,我收到了失败审计事件。 如果我尝试通过Firefox访问该网站,它工作正常,它使用NTLM作为authentication方法。 我为服务帐户创build了SPN,并按照此处的说明为计算机和服务帐户的委派configuration了信任。 任何想法,我可能做错了什么? 编辑:在安全事件日志故障审计有用户作为NT AUTHORITY \ SYSTEM。 我希望看到那里的服务器农场帐户。 OfficeServer应用程序池和中央pipe理应用程序池都在服务器场帐户下运行。 对于Windows SharePoint Servicespipe理和Windows SharePoint Services计时器服务也是如此。 我错过了别的吗?
有没有人有任何使用Kerberos作为pipe理基于Cisco IOS的networking的身份validation机制的经验? 本文似乎表明这是可能的,但是我的Kerberos知识仅限于集中pipe理的UNIX / Linux系统上的用户。 在我花几个小时来试验这个之前,我想我会在这里征求意见。 特别是,如果Kerberos身份validation基础架构正常运行,是否可以将思科设备configuration为接受来自* NIX或Windows计算机的转发的Kerberos证书,而我已经通过身份validation并拥有有效的Kerberos证书? 每次login设备时都不必input密码。 如果这是可能的,一些进一步的扩展: 是否可以使用Kerberos进行身份validation,但要继续使用TACACS +组进行授权? configuration为使用Kerberos身份validation的设备在什么情况下会回退到本地定义的密码? 使用Kerberos对执行RMA /硬件replace有什么影响? (例如,如果仅将SSH用作pipe理手段,如果更换设备,则必须手动重新生成SSH密钥,并且必须删除pipe理站上的旧的known_hosts条目等) 使用Kerberos身份validation时,从EXEC模式升级到特权EXEC(启用)模式时是否还会提示用户input密码?
我一直在努力让鱿鱼跟kerberos跑几天,但是我很痛苦。 我有双重检查所有的configuration文件,他们似乎都行。 这里是我的问题,今天我用wireshark捕获了数据包,并且看到我的客户端浏览器在从KDC 获取票据之前发送并获取HTTP数据包。 我可以通过鱿鱼连接互联网,但它使用NTLM而不是Kerberos,我认为授权将回退到NTLM,因为它在从KDC获得票证之前尝试Kerberos Auth。 (以后可以买到票) KDC可能会导致在authentication期间无法发送票证? 如果需要的话; 你可以从这里得到完整的wireshark日志。 更新:更新wireshark日志,请检查这而不是第一个 update2: squid conf文件: http : //pastebin.com/k1pafHfH 非常感谢。
我们有一个使用Kerberos设置的Team Foundation Server 2010。 如果我们通过http:// tfsserver:8080 / tfs访问它,一切都很好,用户从来没有提示input凭据。 但是,如果通过http://tfsserver.domain.com:8080/tfs访问它,则IE会提示input凭据。 有没有人遇到类似的问题? 谢谢! 我尝试了IE,Firefox和Chrome,得到了相同的结果(使用机器名称时使用Kerberos,使用FQDN时使用NTLM)。
我试图join到Active Directory的Ubuntu 12.04服务器。 我安装了samba ,并且kb5-user在AD中创build了一个机器帐户,并且做了: > net ads testjoin Join is OK 到现在为止还挺好。 然后我遇到一个问题: > sudo net join -U myuser Failed to join domain: failed to set machine spn: Constraint violation 我无权修改Active Directory服务器上的任何内容,因为我不是pipe理员。 有没有办法解决这个错误?
我使用Kerberos和LDAP在计算机上设置了远程login。 我还configuration了NFS挂载到/home以便用户的主目录在他们login的任何地方都是一样的。 Kerberos身份validation似乎正常工作。 我可以使用kinit user1 (假设user1是一个远程用户)获取一张票,并使用klist查看票证。 我很确定LDAP正在工作,因为我看到getent passwd的正确输出,它列出了所有的远程用户。 列出文件时, /home的内容会出现。 问题是:当我尝试以远程用户身份login时,会话立即结束。 为什么不让我保持login? 以下是login尝试后的/var/log/messages的输出: # /var/log/messages: Oct 9 10:57:53 tophat login[6472]: pam_krb5[6472]: authentication succeeds for 'user1' ([email protected]) Oct 9 10:57:53 tophat login[6472]: pam_krb5[6472]: pam_setcred (establish credential) called Oct 9 10:57:53 tophat login[6472]: pam_krb5[6472]: pam_setcred (delete credential) called 编辑: 发行版是openSUSE。 以下是/etc/pam.d中的common-*文件: # /etc/pam.d/common-account account required pam_unix.so # […]
我正在尝试在GPO中启用Kerberos身份validation审核,以便将身份validation事件发送到AD集成的Webfilter设备,并且指示信息使我能够通过执行以下操作来审核Kerberos身份validation服务: Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration > System Audit Policies – Local Group Policy Object > Account Logon > Audit Kerberos Authentication Service 但是当我查看我的GPO对象(例如,“默认域控制器策略”)时,甚至没有看到“安全设置”下的“高级审核策略configuration”节点。 我已经search了各种方法,我知道如何找出这个高级节点是否需要启用,或者有什么其他的原因,为什么它不会出现,但我空了。 我发现的一切只是谈论它,就像它应该永远在那里… 这是在Windows Server 2008function级别域/林中,如果这很重要。 任何帮助是极大的赞赏。 编辑1:从TheCleaner下面的答案提示,我意识到,我们的区议会都是2008年,而不是R2(我们组织中最后剩下的2008年),这是2008 R2的新function。 我试图在2008 R2成员服务器上安装GPMC并在那里设置策略,但是它看起来并没有被应用到2008 DC,即使在gpupdate / force之后(我会尝试重新启动以确定是否有帮助)。 此审核策略设置(“审核Kerberos身份validation服务”>“成功”启用)在2008年其他地方可用,还是在2008 R2添加新的策略设置? 编辑2: 此TechNet文章似乎表明,该策略设置仅适用于Windows 6.1(Win7 / 2008R2),但审计事件应出现在任何6.0(Vista / […]