我有一个拥有大约900个组的用户(其中一些嵌套,所以我怀疑有大约1000个组),他不能login返回的错误,说明有太多的ID。 我已经运行一个脚本来计算他的令牌大小,结果是约24K。 我们已经设置了64K的限制。 用户在SID历史中没有任何东西,因为他从未迁移过。 脚本: https : //gallery.technet.microsoft.com/scriptcenter/Check-for-MaxTokenSize-520e51e5 我也读过这个演习: https : //support.microsoft.com/en-us/help/327825/problems-with-kerberos–authentication-when-a-user-belongs-to-many-grou 但首先它说每个用户有固定数量的组,但是它说,如果我们将MaxTokenSize设置为64K,则每个用户可以拥有1600个域本地组。 我只是想知道在允许用户使用的AD组的最大数量时,设置MaxTokenSize的意义是什么? 我想我在这里错过了一些东西
我们build立了基于WSS的两个前端和一个数据库。 目前所有的身份validation都是NTLM。 我们在集成模式下安装了Reporting Services。 只要安装有RS的Web前端处理事务,RS就会工作。 如果没有RS的前端处理请求,那么我们会得到一个UNAUTHORIZED错误。 在试图解决这个问题,networkingsearch等 – 已经暗示了农场需要执行“双跳”authentication的问题 – 这不可能通过NTLM发生。 所以我们需要configurationIntranet服务器场来接受Kerberosauthentication。 我find了这个有用的指南但是,我们从头开始农场的立场。 所以我们需要知道在追溯configurationKerberos中是否存在风险? NTLM会不会像以前一样继续执行启用Kerberos的步骤?
我在同一台服务器上运行IIS和SQL Reporting Server。 IIS以d\acct1运行,SSRS以d\acct2运行。 最初,我为d\acct1和d\acct2注册了一个SPN HTTP/server.d.com ,并为Active Directory中的无约束的Kerberos委派configuration了两者。 这个configuration打破了Kerberos,因为HTTP/server.d.com有重复的SPN。 如果我删除SSRS的SSN,IIS工作。 如果我删除IIS的SPN,SSRS的作品。 有没有办法在同一台服务器上运行的两个不同的服务帐户之间共享一个SPN,以便它们不会创build重复的SPN? 或者,我必须在iis.server.d.com和reports.server.d.com活动目录中创build两条Alogging,并使用主机标题将两个别名保持在每个相应服务的内部?
我想testing或安装Kerberos进行身份validation。 它是AD DS的一部分还是一个独立的应用程序,我可以在窗口服务器2008上安装 我需要什么来使它工作
试图在非事件安装后在Windows上运行OpenLDAP时,出现gssapi32.dll丢失的错误。 重新安装不会缓解问题,也不会改变安装设置/后端。
我已经安装了Debian Squeeze和sssd。 当我尝试通过SSH用户“alexwinner”login到服务器时,我在日志中看到: (Fri May 11 18:56:03 2012) [[sssd[krb5_child[26281]]]] [get_and_save_tgt] (1): 523: [-1765328360][Preauthentication failed] 但是当我执行kinit alexwinner一切正常,我收到票。 这是我的sssd.conf [sssd] config_file_version = 2 reconnection_retries = 3 sbus_timeout = 30 services = nss, pam domains = MYDOMAIN.COM [nss] filter_groups = root filter_users = root reconnection_retries = 3 ; entry_cache_timeout = 600 ; entry_cache_nowait_timeout = 300 [pam] reconnection_retries = […]
我在Linux机器上安装了Kerberos v5服务器,当连接到其他主机(使用samba,ldap或ssh)时,它运行得非常好,在kerberos数据库中有主机。 我可以使用Kerberos来validation本地主机吗? 如果可以的话,我有什么理由不应该? 我没有为本地主机制作一个kerberos校长。 我不认为我应该; 相反,我认为校长应该解决机器的全hostname 。 那可能吗? 理想情况下,我只想在一台服务器上configuration它(无论是Kerberos,DNS还是ssh),但是如果每台机器都需要一些自定义configuration,那也可以。 例如$ ssh -v localhost … debug1: Unspecified GSS failure. Minor code may provide more information Server host/[email protected] not found in Kerberos database … 编辑: 所以我有一个糟糕的/ etc / hosts文件。 如果我没有记错的话,我用Ubuntu获得的原始版本有两个127.0。 IP地址,如下所示: – 127.0.0.1 localhost 127.0.*1*.1 hostname 因为没有很好的理由,我很久以前就改变了我的想法: 127.0.0.1 localhost 127.0.*0*.1 hostname.example.com hostname 这似乎一切正常,直到我尝试了与Kerberos ssh(最近的努力)。 不知怎的,这个configuration导致sshd将机器的kerberos主体parsing为“host / […]
我使用Apache / 2.2.3(Linux / SUSE)进行基于Kerberos的身份validation。 当用户试图打开某个url时,浏览器询问他有关HTTP基本身份validation中的域名login和密码。 如果用户取消这样的请求3次Apache返回401 Authorization Required错误页面。 我目前的虚拟主机configuration是 <Directory /home/user/www/current/public/> Options -MultiViews +FollowSymLinks AllowOverride None Order allow,deny Allow from all AuthType Kerberos AuthName "Domain login" KrbAuthRealms DOMAIN.COM KrbMethodK5Passwd On Krb5KeyTab /etc/httpd/httpd.keytab require valid-user </Directory> 我想为用户设置一些不错的自定义401错误页面。 我在虚拟主机configuration中添加了这样的行: ErrorDocument 401 /pages/401 它的工作原理,当用户无法授权Apacheredirect他到我的好网页。 但是,Apache不会像以前那样询问用户login名\密码。 我同时需要这个function和不错的错误页面! 是否有可能使其正常工作?
我试图从Windows DC的多用户支持在Ubuntu的服务器上挂载一个CIFS文件夹。 我可以在服务器上以root用户身份获得用户kerberos票据,并用kerberos挂载目录而不会出现任何问题。 但是我不想以一个用户的身份挂载这个目录,它应该作为多用户挂载,并且可以被服务器上的所有用户访问。 也许这只是一个关于理解的普遍问题,也许你可以纠正我这里的错误。 多用户assembly服务器需要一个来自DC的keytab(cifs / samba.domain的ktpass导出) Samba使用此密钥表安装DC共享多用户 Winbind / kerberos根据DC对用户进行身份validation并发出票据 用户可以使用他的票证访问共享 我在DC上导出了一个keytab文件,并将其作为全局keytab文件/etc/krb5.keytab root@remote:/etc# klist -ke Keytab name: FILE:/etc/krb5.keytab KVNO Principal —- ————————————————————————– 3 cifs/[email protected] (des-cbc-md5) 但我仍然无法安装目录,因为密钥不可用安装错误(126):必需的密钥不可用 syslog告诉我这个: May 17 11:37:22 remote cifs.upcall: key description: cifs.spnego;0;0;3f000000;ver=0x2;host=nina.mbeya.domain.org;ip4=10.10.10.17;sec=krb5;uid=0x0;creduid=0x0;user=root;pid=0x599b May 17 11:37:22 remote cifs.upcall: ver=2 May 17 11:37:22 remote cifs.upcall: host=nina.mbeya.domain.org May 17 11:37:22 remote cifs.upcall: ip=10.10.10.17 […]
我想检查我的理解。 这是一个完全假设的情况,因为我目前正在学习authentication。 我有一个IIS应用程序池与一个基本的网站,从SQL后端访问数据。 我想设置Kerberos身份validation,因此委派。 运行该站点的AppPool的身份是IISApp01并具有设置为HTTP/IISSRV01.serverfault.local的SPN。 现在,这一切都很好,但是在Active Directory中,我可以在承载IIS应用程序池的计算机对象或用户帐户IISApp01 (AppPool的身份)上设置委派选项。 谁将实际上将凭据委托给我的SQL框? 那么 – 如何将服务添加到我允许授权的受限服务列表中? 谢谢!