背景:我使用的是Debian 7系统,我已经使用libnss-ldap , libpam-krb5和nscd与LDAP + Kerberos系统集成。 我修改了sudoers ,允许LDAP组有权sudo并获得超级用户权限。 因此,我可以作为LDAP组login来pipe理机器。 这一切工作正常, sshlogin与LDAP用户很好地工作。 我只是在我的用户帐户Cosmic Ossifrage的主目录中试验一个.k5login文件。 在文件中,我列出了: [email protected] 这是一个有效的Kerberos身份。 SSH用户继续正确使用.k5login文件。 但是,在我的主目录中有这个.k5login文件, 我不再能够使用sudo -i获得超级用户权限。 这似乎没有任何意义,因为.k5login位于我的主目录中,而不是root目录,所以在我看来, root用户和sudo命令都不应受到任何限制。 sudoers文件。 但是,使用上面的.k5login文件, sudo -i和sudo su都不起作用,而之前是这样。 一旦.k5login文件被删除,这个function被恢复,我可以再次sudo 。 在日志文件/var/log/auth.log ,此时报告的许多错误消息中有一个来自sudo,指出: [pam:sudo] krb5_kuserok failed for user cosmic_ossifrage 我是否错过了.k5login应该做什么的定义中的基本内容? 这是预期的行为,如果是这样,为什么?
我试图用BIND 9.10启用GSS-TSIG。 在我开始描述我所做的事情之前,我想说我已经在另一个域中完成了,没有任何问题。 所以我想我错过了一些非常具体的东西。 如果有人会帮我debugging这个问题,我会很高兴的。 开始吧。 我在FreeBSD 10.0上运行BIND9 9.10.0P2_5,在启用GSSAPI_BASE选项的情况下自己编译。 我已经使用这个相同的二进制包来部署在另一个正在工作的域上。 然后我在我的named.conf文件中启用了GSS-TSIG: options { ( … ) tkey-gssapi-keytab "/etc/krb5.keytab”; ( … ) }; zone “local.example.com" { type master; file "/usr/local/etc/namedb/dynamic/local.example.com"; notify yes; check-names ignore; allow-query { clients; }; allow-transfer { intnameservers; }; # allow-update { # key "iq-rndc-key"; # domaincontrollers; # }; update-policy { grant * […]
问题1: 我的Windows Server 2012机器上有ActiveDirectory – 它的域名是AD-DEMO.LOCAL Kerberospipe理服务器在另一个Ubuntu机器 – 它的境界KERBEROS.COM 增加了对“Active Directory域和信任”的信任。 在AD中为信任域设置的属性是, 传递和双向检查。 试图用下面的“netdom”命令validation跨域信任, “netdom信任KERBEROS.COM /d:AD-DEMO.LOCAL /validation” 并得到这个例外“命令未能成功完成” 问题2: 为了解决这个问题,search并find了这些链接( 链接1和链接2 ); 从这两个链接的信息,我试图启用validation属性添加的域。 但我没有find像我的AD域和信任窗口中的validation任何属性。 请提出我出错的地方,
在我公司的Intranet环境中,我有几台服务器(都在同一台DC上)。 为了简单起见,我将把我的问题集中在IIS和SQL服务器上。 我在域上的另一台机器上有一个IIS 7.5 Web服务器和一个远程SQL Server 2005。 以下是我希望达到的要求: IIS服务器上的Web应用程序应使用某种forms的身份validation(可能是Windows身份validation),以便用户无需进行身份validation,因为它将在loginWindows计算机时使用其networking用户凭据。 理想的情况下,身份validation方法也应该通过VPN连接支持到networking中。 应将用户标识(Principal)传递到远程SQL Server上,以便在该服务器上的查询将能够标识用户,以便根据用户名来支持授权。 例如,查询select suser_sname()应该通过IIS Web应用程序将执行操作的人员的实际用户名返回给数据库。 该解决scheme应至less与networking上的SQL Server和UNCpath一起工作。 高度可靠和未来的certificate(即最佳实践)。 我花了至less几个星期(累计)研究这个过去几年,因为我有时间,但没有效果。 请首先帮助我理解,如果能够满足这些要求(因为我有理由相信这一点),请指出我在“如何”做到这一点的正确方向,以及我应该如何解决这个问题。 我到目前为止所做的: 我有一个testing应用程序是唯一启用Windows AuthenticationType报告Kerberos AuthenticationTypevalidationtypes。 Windows身份validationconfiguration为使用“协商”作为提供程序,还需要启用内核模式的扩展保护。 应用程序池在集成模式下使用.NET 4.0。 应用程序池标识是我们注册为SPN的自定义域帐户。 AD服务器启用了委托,但SQL Server没有。 我已经能够完成的最好的事情是确认Kerberos http标题的存在,但是我的testing应用程序显示应用程序池的自定义用户(SPN帐户)正在通过,而不是我自己的。 这里是我的testing应用程序的结果,如果你喜欢: Result Field Description Test App Code —— —————– ————- Negotiate Page Authentication Type Page.User.Identity.AuthenticationType <dc>\<username> Page Identity Page.User.Identity.Name Kerberos Principal Windows Auth […]
我有一个OpenLDAP服务器,用于各种服务的身份validation和授权。 所有用户都是对象typesinetOrgPerson ,我的组是groupOfNames 。 现在我想configurationSamba以对LDAP进行身份validation(使用基于组的授权)。 我不能/不希望使用samba作为域控制器,而只是作为文件服务器。 我也不想在Samba中单独pipe理用户帐户,因为我拥有LDAP(用户名,密码,组成员资格)所需的所有信息。 我也想避免改变我的DIT。 据我目前的研究,我可以告诉我不能直接这样做,因为 a)Samba使用自己的凭证存储进行身份validation,这意味着我必须为每个现有的LDAP用户smbpasswd b)我的LDAP用户必须具有samba属性 在环顾四周之后,我怀疑我的问题的解决scheme可能是在samba和LDAP之间使用Kerberos。 我没有pipe理Kerberos的经验,所以在做出努力之前,我想澄清下列主题: 我的假设是否正确? 我可以在一台机器上运行Kerberos的身份validation服务器和密钥分发中心,并将其configuration为仅在本地主机上提供授予票证? (OpenLDAP和samba在同一台机器上运行) Kerberos的使用是否允许我保持我的DIT不变并仅使用LDAP中的信息执行身份validation/授权? 有更好/更简单的解决scheme吗? 我在Ubuntu服务器14.04上。 提前感谢任何提示
使用Apache的mod_dav作为服务器,Samba 4.1.17作为服务器,任何版本的Windows从7作为客户端,我如何使用Kerberos来挂载WebDAV共享进行身份validation? 目前我有WebDAV和Kerberos确认与IE和Firefox用户代理工作。 这是一个IE工作的例子: [23/Aug/2015:15:22:56 +0100] "GET / HTTP/1.1" 200 1062 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 10.0; Trident/8.0; .NET4.0C; .NET4.0E)" [23/Aug/2015:15:22:59 +0100] "GET /favicon.ico HTTP/1.1" 404 778 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 10.0; Trident/8.0; .NET4.0C; .NET4.0E)" 当我尝试映射或浏览它时,总是失败,401错误是Apachelogging的唯一事情: [23/Aug/2015:15:23:21 +0100] "OPTIONS / HTTP/1.1" 401 814 "-" "Microsoft-WebDAV-MiniRedir/10.0.10240" [23/Aug/2015:15:23:21 +0100] "OPTIONS / HTTP/1.1" […]
我根本不是一个Windows用户,但是我理解Active Directory是LDAP + Kerberos 5 +微软特别酱的基本思想。 所以,在我有一个Windows机器,我无法控制现有的Active Directory域的情况下,是否有可能让这台机器上的一个人显式获得一个外国领域的Kerberos票证,然后获取资源我控制哪个Linux服务器在我控制的Kerberos / LDAP领域? 具体来说,假设我在我的领域中有一个用户“[email protected]”,并且该用户使用用户名“baz”login到“BAR.COM”这个微软AD领域的随机Windows机器中。 现在,他们希望通过Samba或NFSv4从我的计算机quux.myrealm.com上的共享文件中获取文件,或者访问需要Kerberosauthentication的网页,他们需要将其作为[email protected]而不是baz @ BAR。 COM是他们用来loginwindows的身份。 Linux / Unix / MIT Kerberos的方式是“kinit [email protected]”,然后去做。 有没有在Windows上的等价物? 是否有一个等价物不需要安装任何不寻常的东西(例如Windows的MIT Kerberos)。 跨领域信任在这里不是一个select,因为我怀疑现有的ADpipe理员会为了单向authentication而放置合适的TGT条目,而且我也不希望信任这个域。
我一直试图让鱿鱼运行kerberos auth几天,但我有一些麻烦。 这个问题已经在squid-users列表和网页上多次提出并答复过,我已经阅读了所有这些问题,并试图解决这个问题。 但是还是没有运气。 我不确定为什么客户端会尝试使用NTLM而不是Kerberos进行授权,如果您向我解释如何检查原因以及如何解决问题,我将不胜感激。 这里是我的一些日志文件和testing。 (configuration文件的准备和维基一样; http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos ) –> tail -f cache.log 2012/01/11 11:54:06| squid_kerb_auth: DEBUG: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbEdAAAADw==' from squid (length: 59). 2012/01/11 11:54:06| squid_kerb_auth: DEBUG: Decode 'TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbEdAAAADw==' (decoded length: 40). 2012/01/11 11:54:06| squid_kerb_auth: WARNING: received type 1 NTLM token 2012/01/11 11:54:06| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type […]
我逐字复制了某人的NFS服务器/客户端设置,并且无法理解正在发生的事情。 这是/ etc / exports: /export *(rw,fsid=0,crossmnt,insecure,async,no_subtree_check,sec=krb5p:krb5i:krb5) /export/home *(rw,insecure,async,no_subtree_check,sec=krb5p:krb5i:krb5) 客户端机器使用autofs按需安装用户主目录。 这里是auto.home: * -fstype=nfs4,rw,soft,sec=krb5 192.168.0.2:/home/& 这工作和运作良好。 不过,出口/export似乎是不必要的,所以我评论说,行服务器configuration。 现在,自动挂载在客户端上失败。 问题 为什么/export/home需要/export也要导出? /export和/export/home的安全选项是否必须相同? 为什么auto.home读取192.168.0.2:/home/&而不是192.168.0.2:/export/home/& ? 这似乎不应该工作。
我正在企业Kerberosnetworking上部署Linux / Firefox。 我遵循这个关于Firefox的Kerberos程序,但Firefox仍然没有通过公司的Kerberos进行连接。 我在RedHat EL Server 5.5上使用Firefox 3.0.18 这是我做的: 在命令行上运行kinit来创build一个Kerberos票据 使用klist检查:票证有效期至明天,服务主体为krbtgt/[email protected] 。 在Firefox中,将network.negotiate-auth.trusted-uris和network.negotiate-auth.delegation-uris为.dc.thecompany.com 。 通过完整的主机名加载公司的门户页面: http://server37.thecompany.com/alfresco : http://server37.thecompany.com/alfresco 。 (注意: server37实际上是我运行Firefox的机器,但这不应该是我猜的问题) 问题:公司的内联网门户仍然为我提供login/密码页面。 同一门户正确使用Internet Explorer / Windows 7计算机上的Kerberos,具有相同的设置,并显示用户的个人页面。 服务器没有看到任何Kerberos请求。 我做错什么了吗? 我启用了NSPR_LOG_MODULES=negotiateauth:5如下所述,但日志文件保持为空。