编辑:解决! 看到我的答案在下面。 问候,我正在寻找一种方法来以下列方式对Intranet进行单一login: Linux用户通过graphics前端(例如GNOME)login。 他自动向MIT Kerberos KDC请求一个TGT作为他的用户名。 通过某种方式,Apache服务器(我们将假设它与KDC在同一台服务器上)通知该用户已经login。 当用户访问内部网时,他自动被授予访问他的Web应用程序的权限。 我不认为我在searchnetworking时看到过这种function。 我知道存在以下可能性: 使用诸如mod_auth_kerb之类的authentication模块,向用户呈现login提示以input他的用户名和密码,然后对MIT Kerberos服务器进行authentication。 (我想这是自动的。) 当用户是Active Directory的一部分时,IIS支持通过ASP.Net进行集成的Windowslogin。 (我正在寻找Linux / Apache的等价物。) 任何build议,批评和想法,高度赞赏。 这是一个学校项目展示的概念certificate,所以每一个方便的信息是比欢迎。 🙂
我正在支持一个扩展到Web和应用程序服务器的基于IIS的应用程序。 Web和应用程序都在IIS后面运行。 当IISconfiguration为通过Kerberos进行身份validation时,该应用程序具有NTLMfunction。 迄今为止,它一直在工作,没有一个小故障。 现在,我正在尝试引入两个F5交换机,一个在Web前面,另一个在应用服务器前面。 2个F5实例(比如ips185&186)位于LINUX主机上。 F5到F5寻找一个NAT IP(比如ips 194,195和196)。 为包括NAT在内的所有IP创build了一个DNS条目,并运行SETSPN命令将IIS服务帐户注册为在HTTP,HOST和域级别受信任。 随着Web F5打开,每个Web服务器连接到一个基本应用程序服务器,当用户连接到Web F5域名时,信任工作和用户authentication没有问题。 但是,启用应用程序负载平衡器并且Web服务器指向新的F5应用程序域名时,用户将获得401. IIS日志显示没有经过身份validation的用户名并显示401状态。 Wireshark确实显示传入系统的协商票据头。 任何想法或build议,非常感谢。 请指教。
如果Kerberos身份validation(由于某种原因)失败,有没有办法使Apache恢复到不同的身份validation方法? validation方法的顺序应该是: Kerberos的 活动目录 RSA令牌 RSA令牌authentication由没有AD帐户的外部用户使用。 让我知道如果你需要更多的信息。 谢谢。 我目前的configuration如下: <Directory "/path/to/directory"> AuthType Kerberos AuthName "Please provide credentials to log in" KrbAuthoritative off AuthzLDAPAuthoritative off AuthBasicAuthoritative off AuthBasicProvider this-sso this-ad this-radius Require valid-user SSLRequireSSL </Directory> authentication别名如下: <AuthnProviderAlias kerberos this-sso> KrbAuthRealms THIS.LOCAL KrbMethodNegotiate on KrbMethodK5Passwd off KrbDelegateBasic on Krb5Keytab /etc/apache2/this.keytab.key KrbServiceName HTTP KrbVerifyKDC off </AuthnProviderAlias> <AuthnProviderAlias ldap […]
问题: 每7天,2个Windows服务器无法访问SMB / CIFS共享。 它将在几个小时后开始工作。 环境: OpenFiler Linux框join到了2003 AD域 Win2003服务器上的前台应用程序使用Windows凭据访问SMB / CIFS共享 Win2008上的另一个进程通过SQL Server使用Windows凭据访问共享 Linux上的Samba版本是3.4.5。 安全性设置为ADS wbinfo和getent返回预期的用户和组 不pipe是主叫用户,它都不是双跳问题,因为它始终是2个帐号。 在Linux的正向和反向查找区域都有一个DNS条目 活动目录中的Linux计算机对象显示它在两个客户端启动失败访问共享的同时进行了修改 尝试通过IP访问共享的作品,当名称不 重新启动Windows服务器照顾它(它是生产,只重新启动一次) 重新启动smbd,winbind,nmbd没有任何作用 有问题的客户端在samba日志中出错:smbd / sesssetup.c:342(reply_spnego_kerberos)无法validation错误为NT_STATUS_LOGON_FAILURE的传入故障单! 问题: 这看起来像机器帐户密码正在改变(因此AD对象显示更新的修改date)还是两个Windows客户端无法请求一个新的票对这个Linux的框?
我试图在Solaris区域上安装Kerberos KDC,但遇到了Solaris 10上的encryption框架问题 即使安装了用于强encryption的软件包(SUNWcry&SUNWcryr),更强大的密钥似乎只能在全局区域中使用: 全局区域: # encrypt -l Algorithm Keysize: Min Max (bits) —————————————— aes 128 256 arcfour 8 2048 des 64 64 3des 128 192 非全局地带: # encrypt -l Algorithm Keysize: Min Max (bits) —————————————— aes 128 128 arcfour 8 128 des 64 64 3des 128 192 “cryptoadm list”给出了在全局和非全局区域上提供者的相同列表。 有没有人有一个想法,我怎样才能启用非全球区域更强大的关键? 或者,如果这实际上是由devise? 我在Solaris 10 Update […]
大家,早安。 在过去的几天里,我一直在和一位微软支持技术人员一起处理与代理和/或Kerberos相关的问题。 该域以2003混合模式操作级别运行,两个域控制器都使用安装了Windows Server 2003 SP2。 有问题的成员服务器是唯一已经添加到域的Windows Server 2008 R2服务器。 在IIS中处理HTTP请求时遇到问题。 请求引用托pipe在同一服务器上的另一个IIS应用程序池中的资源; 从一个w3wp跳到另一个跳。 但是第一个应用程序池的证书不包含在第二个请求头中。 我已经使用Fiddlervalidation了这一点。 把问题搁置一会儿,我正在使用的个人已经多次告诉我,当Kerberos日志logging为DISABLED时将显示Kerberos错误。 起初,我认为他只是在检查LogLevel DWORD中的参数键之后,即使系统事件日志中有很多错误,而我们正在处理这个问题。 但之后他发给我一个请求,要求在昨天晚上禁用日志logging的情况下运行一个procmon跟踪。 在使用Microsoft服务器操作系统的最近十多年中,除非启用日志loggingfunction,否则将看不到Kerberos错误。 我甚至不知道WMI提供程序如何做出与logging特定严重性有关的决定,而logging完全禁用; 没有该registry项,提供者应该只是排除所有与Kerberos相关的事件。 虽然我对此持怀疑态度,但我想提出这个问题,因为我确信有一百万件事情我以前没有见过。 这一个只是不适合我。 所以问题是: Kerberos日志logging处于禁用状态时,是否有人曾经见过或听说过Kerberos错误出现在系统事件日志中? 感谢您的反馈,谢谢。
现在,如果我尝试添加一个非系统用户而不是在大学的Kerberos领域,无论如何我都会提示inputKerberos密码。 显然没有密码input,所以我只是按回车,看看: passwd: Authentication token manipulation error passwd: password unchanged 键入passwd newuser与同一个消息有相同的问题。 我试图使用pwconv ,希望只需要一个影子入口,但它没有改变。 我想能够添加一个本地用户不在领域,给他们一个本地的密码,而不用担心Kerberos。 我在Ubuntu 10.04上。 这里是我的/etc/pam.d/common-*文件(Ubuntu的pam-auth-update软件包生成的默认文件): 将/etc/pam.d/common-account # here are the per-package modules (the "Primary" block) account [success=1 new_authtok_reqd=done default=ignore] pam_unix.so # here's the fallback if no module succeeds account requisite pam_deny.so # prime the stack with a positive return value if there […]
我正在尝试使用Kerberos在我的Apache Web服务器上设置SSO,以便login到本地域的用户能够被立即识别并login。 我已经按照本指南的信,但一旦设置完成,我不能摆脱用户名/密码提示。 我使用Ubuntu 8.04,已经为Apache安装了mod_auth_kerb 5.4。 我的/etc/krb5.conf: [libdefaults] default_realm = COMPANY.LOCAL [domain_realm] .company.local = COMPANY.LOCAL company.local = COMPANY.LOCAL [realms] COMPANY.LOCAL = { default_domain = company.local kdc = DC01.COMPANY.LOCAL:88 admin_server = DC01.COMPANY.LOCAL } 我的Apacheconfiguration: <Location /> AuthType Kerberos AuthName "server login" KrbMethodNegotiate On KrbMethodK5Passwd On KrbAuthRealms COMPANY.LOCAL KrbServiceName HTTP Krb5KeyTab /etc/apache2/httpd.keytab KrbVerifyKDC off KrbLocalUserMapping on require […]
我有一个运行5 x 2008(非R2)DC的2008级Windows域(在接下来的9-12个月内迁移到R2或可能2012的路线图上,但这个项目需要先工作),而我需要在安全事件日志中为集成了AD的Web过滤系统启用Kerberos身份validation服务事件。 显然,“Kerberos身份validation服务”审核设置是2008 R2的新增function,并不在2008 GPO界面中。 这篇TechNet文章似乎表明,我应该能够从2008 R2成员服务器启用“默认域控制器策略”上的设置,并将应用于2008服务器: 如果configuration了此策略设置,则会生成以下事件。 这些事件出现在运行Windows Server 2008 R2, Windows Server 2008 ,Windows 7或Windows Vista的计算机上。 事件ID事件消息 4768请求了Kerberos身份validation票证(TGT)。 4771 Kerberos预authentication失败。 4772 Kerberos身份validation票证请求失败。 但是,我已经试过了,我的5个DC中有4个应用了这个设置,但是其中一个没有在安全日志中logging审计事件。 2008年(非R2)服务器上有更好的方法吗? 有没有什么明显的可能会启用(或禁用)在这个古怪的DC,导致它不接受R2的设置? 任何其他想检查的东西? 在发生违规的DC事件日志中我没有看到任何exception。 任何想法或帮助表示赞赏。感谢您提供任何帮助。 编辑:这是一个链接到我以前的问题 ,我问如何启用此服务器上的这个设置2008年。这个问题变得陈旧,所以我问它的下一个逻辑扩展在这里。
我正在使用这些说明在Ubuntu机器上安装Kerberos5-1.12.1。 每当我试图做: kinit user1 我正面临一个错误: kinit: Cannot contact any KDC for realm 'UBUNTU' while getting initial credentials 以下是我的krb5.conf和kdc.conf文件: 的/etc/krb5.conf: [libdefaults] default_realm = UBUNTU # The following krb5.conf variables are only for MIT Kerberos. krb4_config = /etc/krb.conf krb4_realms = /etc/krb.realms kdc_timesync = 1 ccache_type = 4 forwardable = true proxiable = true # The following encryption […]