我通常理解负载平衡器为Kerberos提出的问题。 事实上,微软的知识库文章彻底说明,这是不可能的。 但是, 这篇文章 (也在MS网站上)表明可能有解决方法。 有没有人configuration系统使用Kerberos和负载平衡器? 你需要使用Forefront服务器吗? 你能描述你的设置吗? 另外,Forefront服务器提供的精确function是什么使这项工作成为可能? 据我了解,负载均衡器后面的每台服务器都需要一个不同的SPN,负载均衡器前面的任何东西都无法知道要请求票证的SPN。
最近,通过将Netware迁移到Windows文件服务器,我们最终创build了一个AD组。 现在我们遇到了一些authentication和获取资源的问题。 经过一些初步的故障排除之后,我们发现Domain Admins是最多的组(397最近的一次)和Kerberos票据大小已超过12000字节(13783)(事件ID 6)的成员。 我发现下面的文章似乎确切地描述了发生了什么,并提出了一些解决方法: http://blogs.technet.com/b/surama/archive/2009/04/06/kerberos-authentication-problem-with-active-directory.aspx 目的是在registry中将MaxTokenSize限制提高到65535。 但是,我不能find什么影响会有什么讨论? 长远来说,目标是合理化团队的数量,但短期来看,这似乎是一个修复。 过去有没有人有过这方面的经验,有没有什么警告我们应该知道在这个变化之前呢? 我们目前正在运行Server 2008域和林function级别,所有数据中心都是64位虚拟机。 更新:所以多读一读后,我可以看到在Server 2012默认设置为48000的MaxTokenSize。 这看起来像是我们采取的明智select。 有一件事我似乎无法find信息仍然是用户有更大的令牌的可能的影响。 有一些build议,这将增加IIS服务器上的内存使用情况,但有谁知道这是否会在DC和成员服务器(即32位Citrix服务器等)的情况下?
我经常使用openssl s_client来testing和debuggingSSL连接(LDAPS或HTTPS服务)。 它使我能够将问题隔离到SSL,而不会阻碍任何事情发生。 我想和Kerberos做类似的事情。 我想用一个小testing,这将显示: 初始机器login(计算机帐户) 请求服务的用户的初始AS请求 用户获得票券的Kerberos交换 (可选)发送到服务的请求 如果我在KDC上运行Wireshark,我可以执行步骤1,步骤2和步骤3,但通常不是一个选项。 如果我监视客户端的stream量,我可以设法捕获步骤2,3和4。 有没有工具可以让我捕捉从计算机帐户开始的每一个Kerberoslogin步骤,而无需在KDC上运行Wireshark?
有谁知道一个解决scheme,可以让我做Windows Active Directory和托pipe在Linux服务器上的LDAP服务器之间的用户帐户同步? 我目前在看FreeIPA(www.freeIPA.org)和389DS( http://directory.fedoraproject.org )。 我期待做帐户同步,因为AD服务器正在部署在我们的总部,没有硬化(没有生成器支持,只有一个互联网连接),而Linux LDAP服务器正在部署到一个硬化的数据中心。 数据中心中的所有机器都是基于Linux的,总部的机器中有90%是Windows。 我知道389DS和FreeIPA有同步的用户,但他们需要安装一个单独的程序来做密码。 我很好奇,如果有人知道如何让Linux中的Kerberos从机与Linux LDAP服务器进行密码authentication,并从Windows服务器接收更新,那么不需要安装额外的应用程序, AD服务器closures后,Linux主机仍然可以通过Linux LDAP服务器进行身份validation。 我们大约50%的用户都是基于Windows的用户,45%的用户使用Windows和Linux,最后5%的用户使用苹果电脑,而我目前正试图build立一个让用户只知道1个用户名和密码login到我们所有的系统。
我有以下exec将Linux(CentOS 6)主机连接到Active Directory域。 从bashterminal以root用户身份运行时,它运行成功,主机正确joinAD域。 但是,在puppet中运行时, net ads join命令将失败: 无法join域:无法为机器帐户设置密码(NT_STATUS_ACCESS_DENIED) 这是执行官 exec { 'adjoin': command => "kinit [email protected] -k -t /etc/krb5.keytab && net ads join createcomputer='Machines/Servers/Linux Servers' osName='${operatingsystem}' osVer=${operatingsystemrelease} -k", unless => "net ads testjoin -k | grep -q 'Join is OK'", provider => shell, user => root, path => '/usr/sbin:/usr/bin:/sbin:/bin', require => [ File['/etc/krb5.conf'], File['/etc/krb5.keytab'], […]
在/ etc / exports文件中,我在Centos 7上有一个nfs服务器: /export *(rw,sec=krb5p) 当我发出这个命令时,如预期的那样,它成功挂载: mount -t nfs -o sec=krb5p server.example.com:/export /mnt/export 它也成功挂载以响应此命令: mount -t nfs server.example.com:/export /mnt/export 在这两种情况下,运行findmnt显示正在使用sec = krb5p选项。 在第二种情况下, mount命令是否有隐藏的默认值,或者客户端是否与nfs服务器通信,发现sec = krb5p是唯一允许的选项?
通常,当您为IIS设置Kerberos时,您可以执行诸如setspn -A HTTP/machine some_account 。 当安装IIS 7时,它将为其内核模式身份validation注册SPN“HOST / machine”。 为什么这个工作? 当没有协议特定的(例如“HTTP”)SPN注册时,“HOST”是什么types的全部SPN? 因为客户端仍然会在TGT请求中指定HTTP SPN,对吗? (对不起,如果这是一个简单的问题,“主机”是一个可预测的谷歌术语)
我在博客上发现了几个参考(见下文),说明setspn.exe实用程序应该从域中的客户机或服务器机器运行,而不是从域控制器本身运行。 http://www.petri.co.il/how-to-use-setspn-to-set-active-directory-service-principal-names-2.htm http://blogs.msdn.com/b/russmax /archive/2009/10/20/configuring-kerberos-authentication-in-sharepoint-2010-part-1.aspx 这是什么原因? 如果我在域控制器上运行setspn.exe会怎样? 我问,因为我设置的SPN在一会之后消失。
你如何获得Windows XP作为一个客户端来authenticationkerberos或heimdal(操作系统是Ubuntu,FreeBSD或OpenBSD)
Kerberos HOWTO经常有类似这样的词汇: 将(通过闪存驱动器,磁盘或encryption连接)密钥表安全地传输到客户端主机。 以root身份login客户端主机,运行kinit获取pipe理帐户的凭证,并从客户端运行kadmin不够好?