我们有几台Linux服务器,使用PAM和Kerberos 5在Windows Active Directory服务器上validationLinux用户密码。我们使用的Linux发行版是CentOS 6。 在一个系统上,我们有几个像CVS和Subversion这样的版本控制系统,这两个系统都通过PAM对用户进行身份validation,以便用户可以使用他们正常的Unix或者其他版本。 Windows AD帐户。 由于我们开始使用Kerberos进行密码validation,因此我们体验到客户机上的CVS在build立连接时往往要慢得多。 CVS在每个请求上validation用户(例如,cvs diff,log,update …)。 有可能cachingkerberos使用的凭据,那么每当用户执行一个cvs动作时,都不需要询问Windows AD服务器。 我们的PAMconfiguration/etc/pam.d/system-auth如下所示: auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth sufficient pam_krb5.so use_first_pass auth required pam_deny.so account required pam_unix.so broken_shadow account sufficient pam_succeed_if.so uid < 500 quiet account [default=bad success=ok user_unknown=ignore] pam_krb5.so account required […]
我们在Windows 2008服务器上的IIS 7中部署了一个.NET MVC 3应用程序(我们称之为PROD)。 该应用程序启用了匿名和Windows身份validation – 所有其他都被禁用。 applicationHost.config中指定的身份validation提供程序是Negotiate和NTLM,按此顺序。 最近我们已经开始遇到这个应用程序的身份validation问题。 与IE连接的用户(与服务器位于不同的域中)使用“启用集成Windows身份validation”选项进行检查得到“未授权HTTP错误401.请求的资源需要用户身份validation”。 即使他们提供有效的凭据。 从Firefox访问应用程序时不会出现问题。 另外,当使用IE浏览器“启用集成Windows身份validation”取消选中一切正常。 根据我在互联网上看到的类似问题,我发现我们在Kerberosconfiguration方面存在一些问题。 事实certificate,NTLM身份validation工作得很好。 我已经检查了SPN,并且他们似乎configuration正确(有默认的configuration,因为我们的应用程序正在被服务器的netBios名称访问)。 有趣的是,我们有另一个服务器(我们称之为DEV),它承载完全相同的应用程序,并在完全相同的域中,并具有相同的身份validation和身份validation提供程序configuration和应用程序池在相同的帐户下运行,精细。 唯一的区别是PROD最近安装了.NET 4,但我不认为这可能是一个问题。 此外,PROD在IIS的以下虚拟目录中托pipe此应用程序:Sites / XYZ / XYZ,以便通过url http://server:8666/XYZ访问该站点。 DEV上的应用程序直接在IIS / XYZ中托pipe在IIS中,并通过url http://server2:8666 。 你能告诉我我还能检查什么? 我尝试打开Kerberos日志logging,但在尝试访问应用程序后在事件查看器中未发现日志。 我没有其他的想法在哪里看,什么检查。
用户成功[email protected] 。 用户然后通过映射到[email protected] altSecurityIdentities: Kerberos:[email protected] 当用户locking屏幕时,locking屏幕为[email protected] ,用户没有(随机)密码。 通过退出到主login屏幕(其中EXAMPLE.COM是默认域/领域)并login,用户可以返回到他们的会话。 有没有办法强制[email protected]作为锁屏用户,否则会导致锁屏立即进入切换用户屏幕。 我主要对Windows 7和8感兴趣,但其他版本的知识也是有用的。
我正在尝试为OpenSSH实现双因素身份validation。 环境是CentOS 7(内核:3.10.0-229.1.2.el7.x86_64),OpenSSH_6.6.1p1,OpenSSL 1.0.1e-fips 2013年2月11日。我们已经部署了Active Directory(LDAP)+ Kerberos。 规范如下: 具有现有的有效Kerberos票证的用户只能被要求提供第二个因素 必须要求没有现有有效Kerberos票证的用户input其密码和第二个因素 本地用户(无LDAPauthentication)应该能够使用本地密码进行authentication 第二个因素不能在第一个之前提供 除了Kerberos之外,如果可用的话,公钥authentication也应该被接受为第一要素 该function应该能够限制在一组用户 – 其他人只是让他们的密码 为了执行第二个因素的身份validation过程,第三方有一个对Kerberos一无所知的PAM模块。 所以这就是我所做的: 把这些行放到/ etc / ssh / sshd_config中: # To enable PAM – this will make sshd use PAM with configuration /etc/pam.d/sshd UsePam yes ChallengeResponseAuthentication yes # To enable Kerberos and public key authentication – it will let sshd […]
我正在尝试将我的CentOS 6.6服务器集成到Active Directory中。 我从Red Hat使用configuration3(SSSD / Kerberos / LDAP)遵循本指南。 当使用Windows Server 2008 R2服务器作为启用了IMU的域控制器时,一切正常。 但是,当我使用启用了IMU的Windows Server 2012 R2服务器时,我能够获得kerberos票据,join域,searchLDAP,但只要我尝试以控制台的AD用户身份login,在/ var / log / messages中获取此错误消息: Jun 6 11:12:30 test [sssd [krb5_child [4760]]]:预authentication失败 而/ var / log / secure显示了这些错误信息: 6月6日11:12:15testinglogin名:pam_sss(login:auth):为用户[email protected]收到:17(失败设置用户凭证) Jun 6 11:12:17 test login:FAILED LOGIN 1 FROM(null)for [email protected],Authentication failed 使用getent passwd aduser或getent group linuxgroup成功返回。 我试过用这个sssd.conf文件: [SSSD] config_file_version = […]
我正在设置一个可以自动为新公开的服务URL创buildSPN的进程。 我知道如何使用带有正确的特权的setspn -A命令来创buildWindows的SPN。 由于我的构build服务器在Linux上运行,我想知道除了login到Windows服务器并运行setspn – 从Linux服务器创buildSPN吗?
问题:AD是否通过networking发送用户的访问令牌? 研究:以下两段经文自相矛盾 – 考虑到TGT是通过devise在networking上传输的。 从Oreilly的第五版Active Directory开始: 最重要的是,用户的访问令牌存储在TGT中。 访问令牌包括重要信息,例如用户所属的组,用户的NT权限和dynamic访问控制(DAC)声明。 从Microsoft Press出版的Windows Server 2008 Active Directory资源工具包: 访问令牌由安全子系统在用户试图访问资源时使用。 当用户尝试访问本地资源时,令牌由客户端工作站呈现给请求安全信息的任何线程或应用程序,然后才允许访问资源。 访问令牌绝不会通过networking传输到另一台计算机; 相反,在用户尝试访问资源的每台服务器上都会创build一个本地访问令牌。 例如,当用户尝试访问运行Exchange Server 2007的服务器上的邮箱时,服务器上将创build一个访问令牌。
我正在尝试使用通过ADFS SAML / Kerberos端点和使用Shibboleth的Apache应用程序隧道化的Active Directory来configurationGoogle Chrome(和Firefox)进行身份validation。 这里有一些设置,我在每台机器内。 Active Directory设置:我正在使用configuration了Kerberos DES Encryption的Active Directory用户帐户,并且在Windows Server 2012 R2中也具有Kerberos预validation。 IE设置: Internet和可信站点的IE安全设置将用户身份validation设置为“使用当前用户名和密码自动login”(自动loginWindows当前用户)。 ADFS和Apache应用程序的域添加到允许的站点中。 Windows Server 2012 r2 ADFS设置: Windows Server 2012 r2使用ADFSconfiguration,且启用了SAML和Kerberos端点。 Shibboleth SP设置: Shibboleth SP运行在Apache中,并被configuration为使用SAML。 什么是成功的发生: Windows用户帐户可以成功login到任何Windows 7操作系统及以上使用IE9和最新。 Windows用户login到Apache应用程序后没有任何提示。 Windows用户立即转到配有Shibboleth SP的Apache应用程序。 怎么了? 无论何时我使用Google Chrome或Firefox,都不会立即转到安全的应用程序内容页面。 相反,它将Windows用户连接到ADFSlogin屏幕,并且login失败(因为它似乎使用Active Directory中的Kerberos设置,ADFS在login屏幕上不使用)。 目标:假设Google Chrome采用Internet Explorer的安全设置进行使用,login到Apache应用程序应该没有麻烦。 那么,如何正确configurationGoogle Chrome(或其他configuration)以允许Windows用户自动loginApache应用程序呢? 更新 错误我从Apache应用程序中得到以下错误: openSAML::FatalProfileException at (https://c-app01.contoso.com/Shibboleth.sso/SAML2/POST) SAML response reported […]
当使用PuTTY 0.65和WinSCP 5.9.3的MIT Kerberos票务pipe理器时,我有时无法与我login的服务器连接。 PuTTY将以No supported authentication methods available (server sent: ) No supported authentication methods available (server sent: publickey,gssapi-keyex,gssapi-with-mic)或No supported authentication methods available (server sent: publickey,gssapi-keyex,gssapi-with-mic) 如果我在尝试连接到服务器之前记得首先获得一张票,似乎最经常发生。 得到一张票后,我每次尝试都会收到同样的错误。 大约一个小时后它有时会自行解决。 我尝试连接的身份validation服务器和服务器的连接通过VPN运行。 使用Cygwin + kinit时我没有遇到任何问题。 这是我的日志: . 2017-01-28 14:04:38.979 Server offered these authentication methods: publickey,gssapi-keyex,gssapi-with-mic . 2017-01-28 14:04:38.980 Using SSPI from SECUR32.DLL . 2017-01-28 14:04:38.980 Attempting […]
MIT Kerberos支持多种types的凭据caching来存储票据。 例如,如果我想在内核内存中使用每个用户的持久性密钥环,我可以将以下内容添加到krb5.conf 。 [libdefaults] default_ccache_name = KEYRING:persistent:%{uid} 其中一个选项是进程内存中的ccache。 我如何启用此选项?