我有一个Kerberized的NFSv4设置,在Ubuntu下对于普通用户来说工作得很好,但是我不能让它在根目录下工作。 对于大多数系统,我不想允许root访问,但是我有一些服务器,通过NFS访问这个文件服务器是必须的。 我知道给定客户端上的root使用客户端的机器标识,而不是普通的kerberos主体。 我无法弄清楚的是:如何将给定的机器身份与服务器上的根访问等同起来? 在AIX和Solaris下(在服务器的导出文件中有root =),似乎是可能的,但不是linux。 我意识到我只允许需要它的主机进行“sys”身份validation,并为所有其他主机保留krb5,但是我想了解如何在完全Kerberos环境中执行此操作。 谢谢, NRB PS我正在使用no_root_squash。
我做了一个Apache 2.4全新安装。 我想使用Kerberos身份validation。 我编译并安装了mod_auth_kerb模块。 这是我的configuration <location "/restriced/"> SSLRequireSSL AuthName "Kerberos login" AuthType Kerberos KrbMethodNegotiate On KrbMethodK5Passwd Off KrbVerifyKDC Off KrbServiceName HTTPS KrbAuthRealms ******.*** Krb5KeyTab /etc/krb5.keytab KrbLocalUserMapping On require valid-user </location> 当我尝试访问“受限”的位置时,我得到这个错误: [Mon Sep 30 10:21:18.782978 2013] [authz_core:debug] [pid 2219:tid 140278178531072] mod_authz_core.c(802): [client xx.xx.xx.xx:61773] **AH01626: authorization result of Require valid-user : denied (no authenticated user yet)** […]
我遵循标准文档分别在主机的SRV和CLT上安装FreeIPA服务器和客户端。 然后,我使用Web UI将用户“X”添加到FreeIPA。 现在,当我尝试将SSH作为X到CLT,我得到一个'Permission denied, please try again.' 错误。 我检查客户端上的'/ var / log / messages',看到这个 – '[sssd[krb5_child[3277]]]: Decrypt integrity check failed' 。 我多次重置密码,但这并没有解决问题。 然后我碰到这些 – http://www.cmf.nrl.navy.mil/krb/kerberos-faq.html#badpass https://groups.google.com/forum/#!topic/comp.protocols.kerberos/g-s76WeWyUU 听起来像从SRV和CLT中删除'/etc/krb5.keytab'文件,然后重新创build它们将解决问题。 我应该如何去做这个keytab重置? 我应该先从FreeIPA库存中提供/删除CLT吗?
我的客户端/服务器都运行Ubuntu 14.04,Kerberos用户身份validation按预期运行。 普通的nfs4坐骑也能正常工作。 所有机器都运行heimdal库。 我一直没有能够得到kerberized nfs4工作。 安装共享时,我在日志中获得以下条目: NFS4服务器: Jun 22 11:25:13 SERVER rpc.svcgssd[7349]: leaving poll Jun 22 11:25:13 SERVER rpc.svcgssd[7349]: handling null request Jun 22 11:25:13 SERVER rpc.svcgssd[7349]: svcgssd_limit_krb5_enctypes: Calling gss_set_allowable_enctypes with 7 enctypes from the kernel Jun 22 11:25:13 SERVER rpc.svcgssd[7349]: WARNING: gss_accept_sec_context failed Jun 22 11:25:13 SERVER rpc.svcgssd[7349]: ERROR: GSS-API: error in handle_nullreq: […]
最近是否帮助DBA解决了一个似乎与无效的SPN有关的问题。 发现很多SQL服务帐户根本没有设置SPN,导致NTLM身份validation。 我已经将SPNconfiguration添加到我们的构build过程中,但是不确定是否返回到使用NTLM的现有系统并configurationSPN以允许Kerberos身份validation会破坏任何内容。 是否有任何configurationMSSQLSvc SPN允许Kerberos身份validation的常见情况会破坏正在运行NTLM的问题没有问题的现有系统? 以下是我正在使用的代码: #Query to identify authentication type for various connections on a SQL server $query = "SELECT s.session_id, c.connect_time, s.login_time, s.login_name, c.protocol_type, c.auth_scheme, s.HOST_NAME, s.program_name FROM sys.dm_exec_sessions s JOIN sys.dm_exec_connections c ON s.session_id = c.session_id" #Everything comes back NTLM #Source: https://raw.githubusercontent.com/RamblingCookieMonster/PowerShell/master/Invoke-Sqlcmd2.ps1 Invoke-Sqlcmd2 -ServerInstance ServerInQuestion -query $query #Get a list of SPNs […]
我正在尝试创build一个keytab文件。 我看到一个警告 WARNING: pType and account type do not match. This might cause problems. 我使用的命令是 ktpass -princ HTTP/[email protected] -mapuser [email protected] -crypto rc4-hmac-nt -pass **** -ptype KRB5_NT_SRV_HST -out "C:\Documents and Settings\Administrator\bloodhound.kytab" 我想用这个在Apache上的SSO。 我正在windows server 2003 r2 sp2上创build这个 产量 Targeting domain controller: fezziwig.uk.domain.com Using legacy password setting method Successfully mapped HTTP/bloodhound.domain.com to ldaplookup. WARNING: pType and account […]
在Solaris上的Intranet系统中,我们目前使用perls Apache2 :: AuthenNTLM模块来与Win 2k3 doman服务器进行身份validation,因此我们可以访问浏览该站点的用户的用户ID。 转移到赢得2012 AD服务器,我们被告知这不会支持NTLM,微软现在不build议这么做。 是mod- auth-为这个软件的用例遏制一个合适的替代品吗? 我search谷歌,找不到相关的文章或教程显示mod-auth-curb被用于这种方式。 我很难入门,并可以在正确的方向使用一个点。 谢谢
我有6个Ubuntu 14.04服务器join到活动目录(2003域function级2008r2架构)当networking接口configuration为使用DHCP时,所有的服务器工作正常。 但是这些服务器在上线时所在的networking没有任何DHCP服务器,所以他们必须使用静态IPconfiguration。 我正在使用以下PAMconfiguration进行身份validation: auth sufficient pam_winbind.so auth sufficient pam_unix.so nullok_secure use_first_pass auth required pam_deny.so 的/etc/krb5.conf [realms] MYDOMAIN.COM = { } [domain_realm] .mydomain.com = MYDOMAIN.COM mydomain.com = MYDOMAIN.COM 和我的/etc/samba/smb.conf [global] security = ads realm = MYDOMAIN.COM workgroup = MYDOMAIN winbind separator = + idmap uid = 10000-20000 idmap gid = 10000-20000 winbind enum users = […]
TL; DR 我希望能够使用我第一次login时生成的kerberos票证从一个FreeBSD主机ssh到一个FreeBSD主机。 题 环境 FreeBSD 10.3与工作openldap-sasl-client,kerberos 5(不是heimdal),sssd,ssh,并joinActive Directory(2008 R2)。 我不得不从/ usr / ports源码位置编译sssd,因为默认情况下sssd-ad并不包括我所需要的。 我不使用winbind,所以参考1是没有帮助的。 (FreeBSD也没有authconfig命令,显然。)我可以执行一个kinit就好了: [bgstack15@localhost /]$ kinit [email protected]'s Password: [bgstack15@localhost /]$ klist Credentials cache: FILE:/tmp/krb5cc_5532829429 Principal: [email protected] Issued Expires Principal Aug 18 16:01:16 2016 Aug 19 02:01:16 2016 krbtgt/[email protected] 之后,我可以ssh -K secondhost ,它需要我在那里。 问题是我希望能够在login时生成一个Kerberos票据,或者至less这样我就不必input我的密码了。 我使用GSSAPI身份validation来到本地主机,所以我买了一张kerberos票。 我可以通过一个,也许? 我已经试过了 这是我的/etc/pam.d/sshd auth sufficient pam_opie.so no_warn no_fake_prompts […]
我正在尝试设置SSSD对AD进行身份validation,并希望以最安全的方式进行操作。 我注意到当设置auth_provider = ad端口389是打开的。 我们有阻止端口389的防火墙规则。设置ldap_service_port = 636没有做任何事情。 有人可以解释什么是ad和krb5 auth提供者之间的区别吗? 我目前有一个conf,krb5,samba和sssd。 这是我目前的设置https://fedorahosted.org/sssd/wiki/Configuring_sssd_with_ad_server