我试图通过GSSAPI获取postgres和kerberos,一起工作。 在这一点上有麻烦。 这对我并不是两个技术的新手都没有帮助。 我有两个postgres和kerberos单独工作,并使用它们(但不是在一起)。 我在这里find了说明: postressql-and-kerberos ,并没有真正发现任何解释它更详细的东西。 我在postgresql.conf文件中设置了这两行: krb_server_keyfile = '/var/lib/pgsql/data/krb5.keytab' krb_srvname = 'postgres' 我已经通过运行带有该信息的'kinit -kt'来validation这是正确的。 我在pg_hba.conf文件中添加了这两个条目: # TYPE DATABASE USER CIDR-ADDRESS METHOD host all all 10.0.1.0/24 gss include_realm=0 krb_realm=HOTDOG.REALM.COM 我重新启动服务器并尝试通过远程客户端连接… kinit freddyboy <enter password> 这是成功的,我可以看到详细信息,如果我做一个“klist”。 然后我尝试连接到postgres,通过: psql -l -h postgresserver.hotdog.com 我收到一个错误,指出: pgql: GSSAPI continuation error: Unspecified GSS failure. Minor code may provide more information […]
kinit -p“用户名”的工作原理 – 设置Kerberos领域没有问题。 然而,我无法从GUIlogin。 客户端身份validation日志: pam_krb5(gdm3:auth): user <username> authenticated as <user>@<realm> gkr-pam: error looking up user information 服务器krb5kdc.log: Oct 01 02:27:23 debian krb5kdc[6996](info): AS_REQ (4 etypes {18 17 16 23}) 10.0.0.11: NEEDED_PREAUTH: <user>@<realm> for krbtgt/<realm>@<realm>, Additional pre-authentication required Oct 01 02:27:23 debian krb5kdc[6996](info): AS_REQ (4 etypes {18 17 16 23}) 10.0.0.11: ISSUE: authtime 1412144843, […]
在我的networking中,许多地方都有多台打印机,全部通过他们所需的任何协议连接到一台CUPS服务器。 networking上的客户端计算机需要打印到靠近他们的打印机,按位置分隔,但是每个客户端都不应该看到networking上的每台打印机。 理想情况下,每个客户端不需要运行自己的CUPS假脱机程序,而是直接连接到主打印服务器。 这也将允许不同的身份validationtypes(如Kerberos)便于单点login到打印队列。 但是,在clients.conf中将打印服务器添加为远程服务器将显示打印服务器上的所有打印机,而不仅仅是与该客户机相关的打印机。 似乎没有办法通过标准IPP队列获得Kerberos身份validation,所以当前体系结构使用Samba打印后端将请求转发到打印服务器上的CUPS。 虽然这支持通过Kerberos的单点login身份validation,但它很麻烦,并且要求客户端具有打印机的PPD。 我的问题是这样的:是否有任何方法来获得打印服务器上的打印机的一个子集显示给客户端,或失败,是否有任何方式获得Kerberos(协商)身份validation工作通过标准的IPP连接?
我们在大约5%的Windows(7 Pro和XP Pro,32位和64位)客户端计算机上面临着奇怪的行为。 这些计算机从IIS服务器获取随机错误 – 400错误的请求。 我们正在使用Windows域,这些客户端正试图通过Kerberos授权给IIS。 Symtomps: 客户端尝试通过Internet Explorer连接到IIS服务器到需要身份validation的站点(Kerberos)。 IIS服务器返回错误400错误的请求。 直到客户端计算机“快乐地重新启动”,错误不会消失。 我们没有find其他方式来“修复”这个状态。 愉快地重新启动意味着您可以重新启动多次。 有时它有时不起作用。 如果它工作,它将安全工作,直到下次重新启动。 如果它不能安全地工作,直到下一次重新启动。 🙂 我们所知道的 我们正在使用更多的组。 所以我们的用户有更大的Kerberos TGT。 MaxTokenSize提高到48000。 我们在受影响的客户端上嗅探networkingstream量,发现客户端发送中断的授权头 。 有kerberos授权标头的部分被切断 – 没有正确结束。 所以从IIS服务器响应是正确的和合乎逻辑的。 所以问题出在客户端 。 我们试图在受影响的计算机上发现工作状态和错误状态之间的一些区别,但没有运气。 我们的networking中有更多的IIS服务器。 受影响的计算机在“错误状态”中都有相同的问题。 希望我们的想法是正确的,即Internet Explorer使用.NET Framework进行HTTP请求和授权。 所以可能是因为.NET的某处? 所有客户都使用版本4。 任何人都可以帮助我们澄清这个谜团? 🙂
假设我有一个使用MS Active Directory的公司域mydomain 。 在域中,我有用户myuser和youruser 。 现在,在一台特定的Ubuntu机器mymachine ,myuser具有sudo权限,并且sudo su youruser (或者sudo -u youruser sh )。 由于myuser具有必要的sudoersconfiguration,所以他不需要input用户的密码,并且将有效地成为该机器上的用户。 myuser目前拥有什么样的youruser权限? 显然,如果你的youruser在机器上也有一个主目录, myuser现在可以访问它并阅读他的私有本地文件。 但是,如果尝试访问使用kerberos,samba等networking域资源会发生什么? 我想因为他从来没有进入你的youruser的密码,他没有authentication为域用户,没有Kerberos票等。所以如果有一个networking服务,检查组成员身份为他的用户ID,这也会失败? 这个怎么用? 他被认为是不同的用户,比如mymachine\\youruser ,而不是mydomain\\youruser ? 假设有一个Web服务作为机器上的守护进程运行,使用专用的域用户myserviceuser 。 如果此Web服务需要访问networking资源(即使用Kerberos进行身份validation),则应该如何设置守护进程(例如,从一个暴发户脚本)? 通常你用sudo -u myserviceuser <cmd>来启动它,但是根据上面的假设,这会授予Web服务访问networking资源的权限吗? 不应该input这个用户的密码吗?
我有两个AD域,我试图使用NFS与Kerberos到他们两个。 部分过程需要分别为客户端和服务器的主机和nfs主体创build密钥表文件。 我在两个DC上使用相同的batch file来创buildAD中的计算机和用户条目以及keytab文件。 来自其中一个AD的密钥表文件工作得很好,但来自另一个AD的所有密钥表文件都失败: rob@hostname: [NFS_Kerberos_Keytabs]$ kinit -V host/[email protected] -k -t hostname_host_REALM.DOM.COM.keytab Using default cache: /tmp/krb5cc_1000 Using principal: host/[email protected] Using keytab: hostname_host_REALM.DOM.COM.keytab kinit: Client 'host/[email protected]' not found in Kerberos database while getting initial credentials 设置这个时,我首先在数据库中创build了一个计算机条目: # extended LDIF # # LDAPv3 # base <cn=computers,dc=realm,dc=dom,dc=com> with scope subtree # filter: (name=hostname) # requesting: ALL # […]
我有一个可控的控制机器(host-A),需要与host-C(一个没有本地用户的Windows机器(这是一个Active Directory))交谈。 主机-A对主机C没有networking访问权限,但可以使用主机-B进行通信。 主机-B它是一个Linux机器。 host-A通过ssh访问主机B. 本文后面我创build了一个nginx服务器来在主机B上路由WinRMstream量 server { listen 5986 default ssl; server_name localhost; ssl_certificate ssl/nginx.crt; ssl_certificate_key ssl/nginx.key; location /host-c { proxy_pass https://host-c-address:5986/wsman; } } 我的主机C的库存清单就像: [windows] host-c ansible_host=host-b ansible_winrm_path=host-c 而windows的group_vars是: ansible_user: myuser ansible_pass: andmypass ansible_port: 5986 ansible_connection: winrm ansible_winrm_realm: HOSTCDOMAIN.LOCAL ansible_winrm_scheme: https ansible_winrm_transport: kerberos ansible_winrm_server_cert_validation: ignore 我迄今testing的东西 1testing没有Kerberos 改变了这一行: ansible_winrm_transport: ssl 这是不可能的,因为host-c不能拥有本地用户。 fatal: [host-c]: […]
我们想通过autofs挂载股票。 没什么特别的我们想过 但是:这必须在一些复杂的活动目录情况下完成。 我们拥有的是:集成的Ubuntu 14.04工作站,用户可以在其上loginWindows凭据。 大部分的工作是使用sssd完成的,它也在login时创build一个kerberos票据。 现在:我们想要使用这张票来validationnetworking共享。 复杂的情况是:AD基于许多位置名称的规定。 以下configuration是匿名的。 问题: 安装尝试失败: cifs.upcall: find_krb5_cc: considering /tmp/krb5cc_594111_644IQv cifs.upcall: find_krb5_cc: FILE:/tmp/krb5cc_594111_644IQv is valid ccache cifs.upcall: handle_krb5_mech: getting service ticket for shareserver.sub.example.org cifs.upcall: cifs_krb5_get_req: unable to get credentials for shareserver.sub.example.org cifs.upcall: handle_krb5_mech: failed to obtain service ticket (-1765328377) cifs.upcall: Unable to obtain service ticket 所以这个kerberos票是为[email protected]生成的。 但是我们想连接到SHARESERVER.SUB.EXAMPLE.ORG 我们的kerberos票证是不是有效连接到服务器,或者这是一个错误configuration的kerberos系统,它不会从sub.example.com链接到example.com。 krb5.conf的: [libdefaults] […]
我有4个域名,1个林根,3个孩子。 孩子们几乎都是复制品,并且他们的机器在所有3个子域名中都是相同的。 例如: DC1.dev.example.com DC2.dev.example.com DC1.test.example.com DC2.test.example.com DC1.prod.example.com DC2.prod.example.com 从我可以告诉,唯一的问题是域joinSPN重复需要手动修复。 DC1.dev.example.com HOST/DC1 HOST/DC1.dev.example.com 短名称是重复的,所以当我添加testing时,如果我手动input计算机名称(扩展属性,服务原则名称)中的fqdn,则AD域连接过程的SPNSETfunction将失败。 我可以防止将短名称添加到SPN吗?
我在Windows 2003 Server SP2上运行Oracle 10.2,这也是networking上的域控制器。 我希望将身份validation方法从NTS切换到Kerberos。 我花了很多时间尝试从Net Manager实用程序的Oracle Advanced Security选项中使用Kerberos身份validationconfigurationOracle。 我禁用了NTS,因此Kerberos被提升为首选的身份validation方法。 但是,只要从Net Manager中保存configuration并重新启动Oracle服务器服务,Oracle就不会启动。 我不知道Oracle在抱怨什么,因为我不知道在哪里寻找Oracle错误日志。 我的第一个问题是:我怎样才能找出什么是甲骨文? 我的第二个问题:是否有一个很好的教程,用于Windows 2003上使用Kerberos身份validation设置Oracle,其中Windows 2003 Server是KDC? 也许有一本书我可以得到? 我已经阅读了Oracles自己的指南,但主要是Linux / Unix。 非常感谢!