在rhel7服务器上,我尝试将服务器join到域中,但是出现以下故障: net ads join -S domain.example.org -U name Enter name's password: Failed to join domain: failed to set machine kerberos encryption types: Insufficient access 与pam,krb5,samba,dns以及远程活动目录服务器中的对象相关的设置configuration正确,这意味着系统将使用rhel6和ubuntu 14.04成功绑定。 我无法find关于我得到的具体错误的很多信息。 我试图在krb5.conf中设置allow_weak_crypto = true来查看它是否与此有关,但是没有任何作用。 我遵循https://technet.microsoft.com/en-us/library/bb463167.aspx中的一些故障排除技巧,但没有运气,我尝试的东西似乎正常工作。 具体来说,我可以做到以下几点,这意味着我可以获得用户名的初始凭证: kinit name Password for [email protected]: 我也能够使用ktutil生成一个keytab文件,当我将它移动到/etc/krb5.keytab klist -e时,它显示正确的内容。 但是, networking广告join失败。 编辑:检查rhel7桑巴源包后,我在README.dc中find以下内容 : 一旦支持MIT Kerberos KDC,我们将立即提供Samba AD DCfunction。 我怀疑可能是这个问题,我不得不等待,直到准备就绪。 编辑2:使用领域和sssd而是似乎有相同的问题。 做完之后: realm -v join […]
服务原则名称是否针对Windows上的Active Directory? 或者它们也存在于Linux OpenLDAP / Kerberos KDC服务器中吗?
我正在尝试设置SPN并为tomcat kerberos spnego创buildkeytab文件单点login。 运行tomcat7的服务器是ubuntu-ad1.wad.eng.hytrst.com,KDC是kerberos.wad.eng.hytrust.com,域名是WAD.ENG.HYTRUST.COM,使用我的广告用户名称[email protected] .HYTRUST.COM machiene的AD帐户是[email protected] 首先我创build一个用户名与spn关联(会喜欢解释为什么我需要这样做?): setspn HTTP/ubuntu-ad.wad.eng.hytrust.com [email protected] 然后,我创build一个keytab复制到web服务器: ktpass /out tomcat.keytab /mapuser [email protected] /crypto ALL /pass * /ptype KRB5_NT_PRINCIPAL 那么我将它复制到networking服务器,并使用ktutil将其与/etc/krb5.keytab合并。 当我尝试用kinittesting这个我不能使它成功地从密钥表中读取: hytrust@ubuntu-ad1:/usr/share/tomcat7/conf$ sudo kinit -k -t /home/hytrust/tomcat.keytab http/[email protected] kinit: Client not found in Kerberos database while getting initial credentials hytrust@ubuntu-ad1:/usr/share/tomcat7/conf$ sudo kinit -k -t /home/hytrust/tomcat.keytab HTTP/[email protected] kinit: Client not found in Kerberos […]
我试图按照Ubuntu wiki上的指南来安装和设置Kerberos。 我正在运行Ubuntu 14.04(LTS)64位。 我已经设置了avahi-daemon以提供.local DNS名称。 我然后运行: sudo apt-get install krb5-kdc krb5-admin-server 对话框要求我input一个领域,以及服务器的主机名。 然而,它似乎打了一个错误: krb5kdc: cannot initialize realm myrealm – see log file for details …fail! 唯一的问题 – 没有日志文件。 看起来默认的/etc/krb5.conf实际上没有启用日志logging。 无论如何,我添加以下内容: [logging] default = FILE:/var/log/krb5.log 然后尝试运行: sudo dpkg-reconfigure krb5-kdc 它仍然错误,但这次,在/var/log/krb5.log ,我看到: krb5kdc: No such file or directory – while initializing database for realm myrealm 但是,它实际上并不告诉我什么文件或目录丢失。 […]
我已经configurationApache来使用mod_auth_kerberos 。 到目前为止,对于连接到Active Directory的客户端以及浏览器启用NTLM,一切正常。 当客户端不在域中或浏览器configuration为不自动进行身份validation时,会通过2次login提示进行提示。 第一个login提示是空的,第二个是我们configuration的 首次login提示: 第二次login提示: 从日志(第一次authentication): [Wed Jan 06 15:47:29 2010] [debug] src/mod_auth_kerb.c(1684): [client xxxx] [pid 2562] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos 在第一次login提示中,我可以放任何用户名和密码的文本。 一旦第一个login表单提交,它将要求第二个login提示。 Apache有以下configuration: <Directory /web/apache2/htdocs> AllowOverride All AuthType Kerberos AuthName "Staff Access ONLY Kerb-Auth" KrbAuthRealms EXAMPLE.COM Krb5Keytab /etc/httpd/conf.d/example.ktab Allow from localhost Require valid-user <Directory> 什么可能是第一个身份validation的原因,我怎么能摆脱他们?
我使用squid 2.6.22(Centos 5 Default)作为代理。 当他们需要NTLM或Kerberos身份validation时,Squid似乎中断了网页的身份validation过程。 我用SharePoint 2007testing并尝试了所有3种身份validation方法(NTLM,Kerberos,Basic)。 在任何情况下访问没有鱿鱼的网站。 当我用鱿鱼访问相同的页面时,只有basic-auth工作。 使用IE或Firefox不会有任何区别。 Squid本身可以被任何人使用(没有configurationauth_param)。 在网上寻找解决scheme有点棘手,因为大多数主题围绕着auth_param来validation用户对鱿鱼的authentication,而不是authentication用户到鱿鱼网页。 谁能帮忙? 编辑: 对不起,但我的第一个testing是完全搞砸了。 我对错误的networking服务器进行了testing(备忘录:在testing之前总是检查假设)。 现在我意识到问题情况完全不同。 Kerberos适用于IE Kerberos适用于Firefox(在about:config中更改“network.negotiate-auth.trusted-uris”之后) NTLM适用于IE NTLM不能在Firefox中工作(即使在about:config中更改“network.automatic-ntlm-auth.trusted-uris”后) 顺便提一句:在squid中提供NTLM-passthrough的function称为“连接钉扎”,HTTP头“Proxy-support:基于会话的authentication”
我正在尝试为我们的Java应用程序testing一个基于Kerberos的SSO解决scheme。 不幸的是,我没有可用的Windows域名。 我读到了将Windows与独立的非Microsoft Kerberos KDC集成的function: http://technet.microsoft.com/en-us/library/bb742433.aspx#EDAA …所以我在Ubuntu上设置了一个Kerberos服务器,并使用ksetup.exe实用程序将一个Windows XP盒子与它集成在一起。 我现在可以在这些PC上login到Kerberos领域。 但是,当我连接到我们的networking应用程序,IE不提供发送到服务器的Kerberos票证…只有NTLM。 我已将网站configuration为位于Intranet区域,并执行了此处列出的其他步骤: http : //docs.oracle.com/cd/E13222_01/wls/docs81/secmanage/sso.html#1101398我也设置了使用ksetup /SetRealmFlags <realm> delegate在领域的'委托'标志…我不知道这是否有关,但已经看到一些迹象表明,它可能是。 如果IE不是Windows域的一部分,而只是Kerberos域的一部分,是否可以让IE发送Kerberos票据?
环境:Windows Server 2012,2个域控制器,1个域。 名为Sharepoint1的服务器已join域(使用NTLM运行Sharepoint 2013)。 执行Sharepoint1(OS和Sharepoint)的全新安装,并为Kerberos进行设置,并使用相同的名称join到域中。 为帐户SPFarm添加了两个用于HTTP / sharepoint1和HTTP / sharepoint1.somedomain.net的SPN。 活动目录显示一个非重复的计算机帐户,其中第一个服务器的创builddate和第二个服务器创build的修改date。 服务器上也有一台单独的服务器将服务器添加到服务器pipe理器中的所有服务器。 此服务器在事件中显示与Technet (Kerberos错误4 – KRB_AP_ERR_MODIFIED)完全一样的本地错误。 题: 有人可以帮助我了解问题是: 计算机帐户仍然是旧帐户,并导致Kerberos票证不匹配(AD授予一些内务pipe理可能阻止了这一点) (在我对Kerberos和SPN有限的理解)中,用于SPN的SPFarm帐户在某种程度上与Windows Server 2012中的远程服务器pipe理工具服务所进行的HTTP调用不匹配 完全不同的东西? 我倾向于第一个,因为我在另一台服务器上testing了相同的SPN,似乎没有引起同样的问题。 如果是这样的话,是否可以轻松安全地修理? 有没有适当的方法来重置帐户或更好地删除和重新添加帐户? 尽pipe在AD用户和计算机中使用某些PowerShell或单击操作听起来很简单,但我不确定这会对现有服务器(尤其是运行SharePoint的服务器)产生什么影响。 最安全和最简单的方法是什么? 谢谢!
我遇到了在使用Kerberos的testing环境中configurationIIS 7.0网站的问题。 我有安装了AD DS,AD RMS,DHCP,DNS和IISangular色的Windows Server 2008 R2试用版。 我已进入该网站的IIS安全设置并设置Windows身份validation以允许Kerberoslogin。 我遇到的问题是,它不是经常使用Kerberos的安全协议。 当我将IIS中的提供程序设置为“协商”时,Fiddler2指示标题将在50%的时间内返回NTLM标头,另外50%的时间将返回Kerberos标头。 如果我在IIS中将提供程序设置为“Negotiate:Kerberos”,则无法访问该站点,因为它会立即报告401错误。 此外,任何尝试使用Linux机器在任一configuration中连接到站点都会立即导致401安全错误。 任何人都可以提供一些见解或指导如何configuration? 我特别需要阻止任何回退到NTLM,除了启用Kerberos,无论我连接的机器。 到目前为止,我还没有find完全解决这个问题的任何technet或serverfault文章。
我们有多个跨越远程地区分支的IIS实例。 每个IIS实例(v.7.5)都运行相同的应用程序,并使用集成身份validation(提供程序列表中的NTLM)对其用户进行身份validation。 一些分支经常与HQ断开连接,从而无法到达域控制器。 当到总部的链接closures时,我们观察到有些用户仍然可以向IIS服务器进行身份validation,而其他一些用户则不能。 我们可以在NTLM和Kerberos身份validation中find的MSFT文档不包含有关这些机制(和/或IIS itslef)如何处理暂时断开的域控制器情况的信息。 信息很容易用于工作站:一个策略设置定义了多lesslogin应保持本地caching,允许具有离线DC的交互式login。 但是,IIS会发生什么? DC不可用时可以进行身份validation吗? 如果是的话,有什么要求? 是否存在某种caching? (通常:如果DC成功closures,域成员工作站是否可以重新启动并仍然可以访问NTLM身份validationIIS应用程序?) 任何帮助或指向有关这个话题文档的指针将不胜感激, 亲切的问候,某人