这可能是我忽略了的一些愚蠢的错误,但是我一直在为此工作一周左右。 运行版本1.10.3版本17.fc18 这是我的krb5.conf [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = KERBEROS.INTERNAL.COM [realms] KERBEROS.INTERNAL.COM = { default_domain = kerberos.internal.com kdc = kerberos.internal.com: admin_server = kerberos.internal.com: } 我知道DNS工作正常 $ host kerberos.internal.com kerberos.internal.com has address 10.8.0.1 服务器正在运行 krb5kdc.service – Kerberos 5 KDC Loaded: loaded (/usr/lib/systemd/system/krb5kdc.service; enabled) Active: active (running) since Tue 2013-06-25 […]
应该如何设置每个客户端机器的客户端密钥表文件来访问networking服务? 我的工作示例是NFSv4,它要求每个客户机在客户机(以及NFS服务器主机)上本地有一个Kerberos密钥表。 所有需要访问NFS主机的客户端机器之间共享同一个密钥(通常用于NFS目的)可能会产生什么坏处? 如果从#1的结果来看,我们确实需要在每个客户端的不同密钥表中使用一个单独的密钥,那么为每个客户端自动创build密钥表的方式是一种有效的(更重要的)安全方法几千台机器? 我不想在每个盒子上生成和导出密钥!
我们有一个可用的FreeIPA安装,从二月份开始生产。 几乎一切正常,但是当我们尝试运行命令行FreeIPA相关的工具时,它们都不起作用: [admin@ipa ~]$ kinit admin Password for [email protected]: [admin@ipa ~]$ klist Ticket cache: KEYRING:persistent:8800000 Default principal: [email protected] Valid starting Expires Service principal 06/30/2014 21:19:30 07/01/2014 21:19:12 krbtgt/[email protected] [admin@ipa ~]$ ipa pwpolicy-show global_policy ipa: ERROR: Kerberos error: ('Unspecified GSS failure. Minor code may provide more information', 851968)/('No Kerberos credentials available', -1765328243) [admin@ipa ~]$ 我不是一个Kerberos专家,不知道要检查什么。 我们如何debugging和解决这个问题? […]
我的目标是使用Kerberos对Apache进行身份validation,而不用提示用户名和密码。 它目前总是显示“401未经授权”,并且似乎没有尝试Kerberos。 我找不到任何错误日志,只能find一个显然不起作用的kinit命令,并给出错误 – WireShark中显示的错误为: Linux sends AS-REQ Windows replies KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN 线索还是红鲱鱼? 设置/背景细节 Windows Server 2008 R2 SP1, with Active Directory ("winserver"). CentOS 6.5 ("centos"). configuration主机名和DNS,并在Windows DNS服务器中添加A和PTR条目。 名称parsing显示正常。 使用authconfig-tui创build/etc/krb5.conf和/etc/samba/smb.conf并调整它们。 的krb5.conf `/etc/krb5.conf` [libdefaults] default_realm = SITE.EXAMPLE.COM dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true [realms] SITE.EXAMPLE.COM = { kdc […]
背景/行为是:如果您通过ssh打开并且GSSAPI / Kerberos成功,并且您在/ etc / passwd中拥有本地用户,则您可以根据以下PAMconfiguration正确login。 所有好的。 但是,如果您在/ etc / passwd中没有本地用户,但是您可以获得主机/ XXXXXX服务票证(GSSAPI有效),则sshdlogin失败,永远不会收到SecurID提示(我们的pam radius指向SecurID)。 我明白那个。 由于服务器“authentication”了用户,并且pam_unix 知道用户不在/ etc / passwd中,所以不需要使用任何其他authentication方法。 但是,我的问题是,为什么我第一次运行kdestroy(故意有GSSAPI失败),并且仍然不存在于/ etc / passwd中,我是否突然得到一个Securid提示符(即PAM被占用)? 运行sshddebugging显示:推迟键盘交互式无效用户“用户”。 首先,它为什么不简单地失败? 其次为什么延迟? pam_radius是“必需的”,而不是“必需的”。 我也希望也只是失败,因为即使我没有通过身份validation,我永远不会超过pam_unix。 文件: 的/ etc / SSH / sshd_config中 …. ChallengeResponseAuthentication yes GSSAPIAuthentication yes HostbasedAuthentication no KerberosAuthentication no PasswordAuthentication no PubkeyAuthentication yes RhostsRSAAuthentication no RSAAuthentication yes UsePAM yes …. […]
我使用本地帐户(Linux)的pam_krb5进行AD密码validation。 事情运作良好,用户可以用AD和本地密码进行身份validation。 我有一个问题,但当本地密码过期Kerberos身份validation失败,并提示用户更改其本地密码。 问题是,大多数用户不记得他们的本地密码,到目前为止我的解决方法是暂时禁用本地密码更改实施。 有没有办法让pam_krb5忽略过期的本地密码,或者至lessconfigurationPAM来优先考虑本地的Kerberos密码? 我的研究使我相信这与common-auth有关,我在下面提供了这个: auth required pam_env.so auth sufficient pam_unix2.so auth requisite pam_succeed_if.so user ingroup access_www auth sufficient pam_krb5.so use_first_pass auth required pam_deny.so
在使用Samba(版本4.3.8)/ WinBind和Kerberos的Windows Server 2008 R2上,连接到AD的Ubuntu Server 14.04(文件服务器)存在问题。 问题是用户在其个人文件夹中没有写入权限。 我们还注意到,当使用wbinfo -u时,输出不会给出错误,但会产生一个空列表,甚至不会显示本地用户。 但是,wbinfo -g正确显示AD组。 这个设置一直工作到昨天。 我们build立了另一个新鲜的Ubuntu服务器configuration相同,并产生了相同的问题。 join并信任与AD工作正常: net ads join -U administrator Enter administrator's password: Using short domain name — NTB Joined 'UBUNTUTEST' to dns domain 'NTB.local' 任何想法可能是什么问题,或者我们如何进一步排除故障?
我注意到了一些关于我的Kerberos凭证过期的消息。 这实际上意味着什么,到期时会发生什么? 我如何续订? 这只是再次login的情况吗? -bash-3.00$ Message from [email protected] [ 28 August 2009 01:58:53 BST ] … Message to [email protected]: your kerberos credentials expire in less than 30 minutes. <EOT>
我有一个win2k(混合模式域)与4 DCS。 其中之一也作为交换2000服务器使用来自MSA 2000arrays的2个逻辑卷。 AD等存储在本地驱动器上。 上周我们遇到了一个问题,当RAIDarrays回落到一个冗余控制器时,这暂时意味着这两个逻辑驱动器对于服务器来说不可见大约5分钟和几次重启。 日志logging这些 事件types:警告事件来源:磁盘事件类别:无事件ID:51date:06/11/2009时间:11:46:23用户:不适用计算机:server1说明:设备\ Device \ Harddisk1 \ DR1在分页操作过程中。 出现这些问题后,服务器“kerberos密钥分发”服务拒绝以“error.31附加到系统的设备不能正常工作”开始。 所有其他自动启动服务(包括networkinglogin)正在运行,并没有DNS问题等。 所有的设备也在运行,但是两个逻辑MSA磁盘现在在Windows磁盘pipe理MMC中被编号为2和4,我怀疑它们以前可能被识别为磁盘1和2,并且Windows仍然认为这是一个持续的故障? ? 复制没有受到影响,但很显然,安全日志中有许多与用户和工作站有关的Kerberos问题的审计失败。 尝试手动启动kerberos服务会在系统日志中生成以下内容。 事件types:错误事件源:服务控制pipe理器事件类别:无事件ID:7023date:09/11/2009时间:09:46:55用户:不适用计算机:Server1说明:Kerberos密钥分发中心服务终止以下错误:连接到系统的设备无法正常工作。 DCDIAG通过除“广告”和“服务”之外的所有testing,我认为这些testing直接涉及到Kerberos的失败。 任何意见,将不胜感激。
我想做的事情应该很简单。 我有一个Ubuntu 10.04盒子。 它目前被configuration为对Kerberos领域的用户进行身份validation(EXAMPLE.ORG)。 krb5.conf文件中只有一个领域,它是默认领域。 [libdefaults] default_realm = EXAMPLE.ORG PAMconfiguration为使用pam_krb5模块,因此如果在本地机器上创build了用户帐户,并且该用户名与[email protected]凭证相匹配,则该用户可以通过提供他的kerberos密码login。 我想要做的是使用不同的用户名创build一个本地用户帐户,但要始终使用kerberos服务器中的规范名称对其进行身份validation。 例如,kerberos主体是[email protected] 。 我想创build本地帐户preferred.name并以某种方式configurationkerberos,当有人试图以preferred.namelogin时,它使用主体[email protected] 。 我曾尝试在krb5.conf中使用auth_to_local_names ,但是这似乎并没有成功。 [realms] EXAMPLE.ORG = { auth_to_local_names = { full.name = preferred.name } 我曾尝试将[email protected]添加到[email protected] / .k5login。 在所有情况下,当我尝试以preferred.name@host身份login并inputfull.name的密码时,我的Access被拒绝。 我甚至尝试在krb5.conf中使用auth_to_local ,但是我无法获得正确的语法。 是否有可能有一个(不同的)本地用户名,为所有目的的行为完全一样匹配的用户名呢? 如果是的话,这是怎么做的?