我试图设置一个由Kerberos服务器(KDC),客户机和运行OpenSSH守护进程的服务器组成的简单Kerberos环境。 在build立与服务器机器的SSH连接时,客户端应该通过Kerberos进行身份validation。 我尝试authentication的Kerberos用户的名字是krbuser 。 该用户存在于服务机器上,具有1001的uid。 奇怪的是我用SSHlogin时需要inputKerberos用户的密码。 每次我login。 不仅为我的第一个连接。 这似乎很奇怪,因为Kerberos的整个要点是无需密码进行身份validation。 我在身份validation过程中使用了tcpdump,并注意到客户端正在使用cname root对KDC执行AS-REQ。 这Kerberos的用户名不,我不知道为什么客户端使用这个名字。 正如所料,KDC响应eRR-C-PRINCIPAL-UNKNOWN消息,因为数据库中没有root用户。 对我来说,主要问题似乎是客户端尝试以root身份而不是krbuser进行身份validation。 我会在下面发布一些关于我当前configuration的信息。 请让我知道,如果你需要任何额外的信息。 在KDC上: /etc/krb5.conf [logging] default = FILE:/usr/local/krb5/var/log/krb5lib.log kdc = FILE:/usr/local/krb5/var/log/krb5kdc.log admin_server = FILE:/usr/local/krb5/var/log/kadmin.log [libdefaults] default_realm = metz.prac.os3.nl rdns = false # The following krb5.conf variables are only for MIT Kerberos. krb4_config = /etc/krb.conf krb4_realms = /etc/krb.realms kdc_timesync = 1 ccache_type […]
我需要build立一个Linuxnetworking:中央authentication服务器和笔记本电脑(也许桌面)。 笔记本电脑必须caching凭据。 现在最好的方法是做什么? Kerberos可以强迫这样做吗? 我应该安装Samba WAD等效并使用吗?
我正在尝试在我们的networking中使用tomcat服务器上的spnego实现Kerberos SSO。 我们在预authentication的域上创build了一个帐户(TCNKRBGINA),并将其设置为http服务器: Setspn -A HTTPS/testtech.etat-ge.ch TCNKRBGINA Setspn -A HTTP/testtech.etat-ge.ch TCNKRBGINA 但客户端(IE或Firefox)发送NTLM令牌而不是Kerberos票据。 问题似乎没有在服务器端,因为当没有授权标头发送时,它正确地返回与WWW-Authenticate: Negotiate标头的401状态代码。 在服务器有机会联系域控制器之前,客户端发送的下一个请求包含NTLM令牌。
我们已经在URL http://alf-test.example.com/下使用Kerberos获得了启用SSO的Java应用程序。 不幸的是,有些东西不起作用,AD公司说它不知道服务的原则。 这是TGS-REQ交换: 请求: Kerberos TGS-REQ Record Mark: 1499 bytes 0… …. …. …. …. …. …. …. = Reserved: Not set .000 0000 0000 0000 0000 0101 1101 1011 = Record Length: 1499 Pvno: 5 MSG Type: TGS-REQ (12) padata: PA-TGS-REQ KDC_REQ_BODY Padding: 0 KDCOptions: 40810000 (Forwardable, Renewable, Canonicalize) Realm: EESERV.LOCAL Server Name […]
我有一个.net 2.0的Web应用程序托pipe在Windows 2003服务器上validation与Java应用程序(我认为在Linux上)的问题。 java服务器需要Kerberos身份validation,并且当请求使用NTLM进入时,当前会失败。 我查看了2003服务器上的Windows事件查看器,并且有几个Kerberos 6消息,这里是其中之一: The kerberos SSPI package generated an output token of size 3318 bytes, which was too large to fit in the 32AC buffer provided by process id 0. If the condition persists, please contact your system administrator 我找了一篇文章,看了一下registry,build议增加一个MaxTokenSize键来解决这个问题,看看是否有人错误地把一个小的值放进去,但那里什么也没有。 还有没有其他的解释,为什么它只会说3000字节太大。 在一个侧面说明我检查了有问题的用户的成员资格,它只属于域用户组。
我正在试图build立一个为Windows客户端提供一些文件共享的服务器,我希望它能够与我学校已经build立的现有authentication框架进行整合。 有一个Windows LDAP服务器,它包含所有学生的信息 – 我希望Samba根据该服务器进行身份validation,并根据需要授予对共享的访问权限。 我已经查找了指南,但是我所能find的是用于设置我自己的LDAP服务器以供Samba使用的文档。 我的情况有些受限:我没有LDAP服务器的pipe理员权限,我需要使用该服务器,因为我非常希望为我的用户提供一个统一的login(即不必让每个人都保持独立帐户在这台服务器上)。 我已经成功地设置了LDAP,Kerberos,PAM和NSS,以便用户可以通过SSH以他们的LDAP用户名login,但是我不知道如何让Samba执行相同的操作。 我听说Samba使用PAM是不好的,因为这需要禁用密码encryption。 是否有办法在没有任何远程计算机的pipe理权限的情况下设置Samba来针对单独的LDAP(或Kerberos)服务器对用户进行身份validation? (这也意味着将服务器joinActive Directory域几乎是不可能的。)
有没有Kerberos域这样的事情? 我很确定我听说过这个词,但我正在努力寻找一个体面的解释(或任何解释)。 只是有人将其与Windows域或LDAP域混淆?
我有两个Kerberos领域,我可以进行身份validation。 其中一个是我可以控制的,另外一个是我的观点。 我在LDAP中也有一个内部用户数据库。 比方说,领域是INTERNAL.COM和EXTERNAL.COM。 在ldap中我有这样的用户条目: 1054 uid=testuser,ou=People,dc=tml,dc=hut,dc=fi shadowFlag: 0 shadowMin: -1 loginShell: /bin/bash shadowInactive: -1 displayName: User Test objectClass: top objectClass: account objectClass: posixAccount objectClass: shadowAccount objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson uidNumber: 1059 shadowWarning: 14 uid: testuser shadowMax: 99999 gidNumber: 1024 gecos: User Test sn: Test homeDirectory: /home/testuser mail: [email protected] givenName: User shadowLastChange: 15504 […]
我按照MIT Kerberos 5的说明更新了我的Kerberos 5服务器的主密钥。 我重新启动了kdc和kadmind服务,并使用krb5-prop将更改推送到其他服务器。 现在,我无法从任何服务器(包括pipe理服务器)连接kadmin: $kadmin Authenticating as principal jacob/[email protected] with password. Password for jacob/[email protected]: kadmin: GSS-API (or Kerberos) error while initializing kadmin interface 从我的search,我发现这是一个共同的原因是时间syncronization问题,但机器在一秒钟内匹配,甚至从运行kadmind服务器失败。 我不知道如何解决这个问题。 我的kadmind版本没有任何forms的debugging参数或详细日志logging级别,我发现。 我试着用-nofork在命令行上运行它,在那里很安静。 密码被接受。 我可以kinit作为目标原则,如果我input密码错误告诉我。 kadmin: Incorrect password while initializing kadmin interface 如果kadmind服务没有运行,它也会给出不同的错误。 kadmin: Communication failure with server while initializing kadmin interface 在更新主密码之前,我没有testingkadmin,但是我最近使用它,没有做其他的configuration更改。 我试着检查我的密钥版本号(kvno),他们似乎是正确的。 还有什么可能导致这个? 我还能在哪里检查? 我怎样才能debuggingkadmind? Debian 8,krb5-admin-server […]
我们在我们的网站上有.htaccess http://subdomain.site.com/ : AuthType Kerberos AuthName "Internet ID" require valid-user order deny,allow deny from all allow from all 在网站的子目录http://subdomain.site.com/subdirectory/我们有一个.htaccess: AuthType none Satisfy any 原因是在这个子目录/我们有不同的authentication机制,不想使用Kerberos作为authentication。 但问题是,在Chrome中.htaccess身份validation仍然popup,但Firefox,歌剧,IE浏览器不加载页面之前提示进行此身份validation。 我无法理解服务器端configuration如何根据浏览器以不同方式呈现给最终用户? 我的子目录.htaccess中有什么东西我失踪了?