我有多个Linux服务器全部configuration为允许活动目录的Kerberos身份validation。 所有其他用户和组属性驻留在单独的目录服务器(389)中。 我能够login和获取用户信息(getent passwd,id,getent group等) 现在,每个服务器都有一个用户可以访问的kerberized应用程序(每个服务器一个)。 其中一些应用程序不使用PAM。 有没有办法限制某些用户只能访问某些应用程序/服务器,具体取决于他们是否是特定组的成员? 我的想法是以某种方式find限制AD的方法,以便只有当用户是特定AD组的成员时才能发出服务票据。 另外也可以从Linux的一些configuration(例如krb5.conf中的例子),允许我执行授权检查或者一些如何触发PAM会话和帐户检查。 谢谢
我build立了一个KDC服务器,并创build了一个EXAMPLE.COM 。 这是我的krb5.conf文件: [libdefaults] renew_lifetime = 7d forwardable = true default_realm = EXAMPLE.COM ticket_lifetime = 24h dns_lookup_realm = false dns_lookup_kdc = false default_ccache_name = /tmp/krb5cc_%{uid} #default_tgs_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5 #default_tkt_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5 [logging] default = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log kdc = FILE:/var/log/krb5kdc.log [realms] EXAMPLE.COM = { admin_server = my.linux-server.de kdc […]
MIT Kerberos提供的其中一种凭据cachingtypes是MEMORY 。 根据文件,它是由kadmin使用。 MEMORYcaching用于存储不需要在当前进程之外可用的凭证。 例如,kadmin使用内存ccache存储用于联系pipe理服务器的pipe理权证。 我已经尝试在/etc/krb5.conf设置default_ccache_name = MEMORY: 这样做之后,我发出了kinit命令,并进行了数据包捕获。 从这个捕获中我可以看到TGT成功地从KDC获得。 kinit程序结束后,这个票据(显然)就丢失了。 此外,看起来如果需要基于持久性内存的票据,可以使用KEYRING ccachetypes。 MEMORY凭证cachingtypes的其他用例是什么? 我假设这是从一个bash脚本例如没有用。 当脚本调用kinit它将会分叉,并且在完成时,获得的票证将不能被父母访问。 是否有可能包含一个kerberos头文件,以保持与其他逻辑相同的地址空间的门票?
在使用IIS 6的Windows 2003上,我们正在尝试设置Kerberos身份validation。 这在一定程度上起作用。 我已经build立一个单独的应用程序池与服务帐户。 当我使用这个应用程序池与pplinfo服务帐户时,用户将不会激活目录进行身份validation。 任何帮助将是伟大的。
我试图让Kerberos身份validation使用命名的SQL 2008实例。 如果我连接到实例作为machine_name \ instance_name,我已经得到它的工作。 但是,我们在同一主机的DNS中有多个Alogging。 当我尝试连接到与other_name \ instance_name相同的实例(其中“other_name”是另一个指向与“machine_name”相同的IP地址的Alogging)时,它将回退到NTLM身份validation。 我已经添加了以下SPNlogging: MSSQLSvc / other_name:端口service_account MSSQLSvc / other_name:instance_name service_account HOST / other_name machine_name HOST / other_name.fqdn machine_name 我不知道该从哪里出发。 有任何想法吗?
我正在设置MIT Kerberos5和Active Directory之间的Kerberos信任。 然而,在我2003年的旧Kerberos书中,我们注意到“有几个应用程序,尤其是Microsoft Exchange(2000及以下),仍然使用旧的NTLM风格的身份validation”。 幸运的是,我们不使用MS Exchange,但担心我们可能会错过Kerberos不支持的重要用例。 我知道我们行业的其他组织已经做了类似的设置,我知道他们已经find了解决办法,但我还没有find一个给他们的问题的应用程序的好名单。 ServerFault社区可以帮我吗? 即使传闻证据表示赞赏。 编辑1 : 到Active Directory的API需要密码更改以纯文本而不是散列传递 。 我们希望通过站立一个用于用户身份validation的MIT领域来从我们的身份validation基础架构中移除此要求。 有一些用例可能会使帮助台的工作变得更简单,但如果IT人员打破任何应用程序,就很难让IT中的其他人同意进行更改。
Exchange 2010支持Kerberos的第一个版本是SP1 RU3。 它通过RollAlternateServiceAccountCredential.ps1命令行RollAlternateServiceAccountCredential.ps1执行此操作。 除了实现“更好”的安全性之外,这是否为灾难恢复,性能或其他任何值得了解的事情提供了其他好处? 仅供参考 – 如果Google在这里发送给您: 确定是否正在使用Kerberos的方式,请使用KList.exe Test-OutlookConnectivity -Identity administrator -MailboxCredential $c -Protocol tcp
我正在写一个pGina插件,以便在login时从我们的kdcs获得AFS令牌和Kerberos TGT,同时写入我注意到了kinit的一个“特性”,它不会让你提供任何input,除非它从键盘上,只是redirect标准input… 有人build议使用keytab文件作为主体,这似乎超级容易,直到我意识到我只使用Linux上的kutil和窗户(显然)版本ktpass吸haaard。 我曾多次尝试用大量的参数组合来创build一个keytab,但迄今为止还没有成功,现在发布的命令是 ktpass /out key.tab /mapuser [email protected] /princ [email protected] /crypto RC4-HMAC-NT /ptype KRB5_NT_PRINCIPAL /pass mahpasswordlol /target MERP.EDU 不幸的是,所有这些产出 Using legacy password setting method FAIL: ldap_bind_s failed: 0x31 根据我的研究,这是一个身份validation/encryption问题,我已经尝试过与其他DES设置,但这似乎也不工作…任何人有任何经验/想法如何这可能工作?
如何在Fedora中强制更改用户的Kerberos密码? 我只能find提供kpasswd <username>文档,但是这需要用户当前的密码,pipe理员可能不知道。 我发现一些使用k5admin -l BSD文档,但是在Fedora中似乎没有。
我在这里试图debugging一个问题。 所以我需要通过Kerberos将这个Linux Box连接到AD域。 这里是我的krb5.conf: [libdefaults] default_realm=OURDOMAIN.COM dns_lookup_realm=true dns_lookup_kdc=true ticket_lifetime=24h forwardable = true proxiable = true [realms] OURDOAMIN.COM = { kdc = VSH002.OURDOMAIN.COM:88 admin_server = VSH002.OURDOMAIN.COM:749 default_domain = OURDOMAIN.COM } [domain_realm] .ourdomain.com=OURDOMAIN.COM ourdomain.com=OURDOMAIN.COM 现在/ etc / hosts: 10.1.10.51 VSH002.OURDOMAIN.COM VSH002 vsh002 和resolv.conf: domain ourdomain.com search ourdomain.com nameserver 10.1.10.51 命令kinit [email protected]工作得很好。 另外klist -ke显示正确的校长 kinit -V也连接成功。 问题:在Active Directory端使用kpass生成密钥表并尝试使用连接 […]