我有一个孤立的networking,我已经build立了一个vfiler。 这个networking的重点是它是一个非路由“testing”networking。 但是,需要通过域级帐户对文件pipe理器进行LDAP / Kerberos和CIFS访问。 所以我们有部署只读域控制器。 要将Windows盒子joinRODC,我们将: 手工创build一个机器账户。 join域,并在客户端指定机器账号密码。 一个谷歌search发现我: https ://kb.netapp.com/support/index?page = content & id =1012918 build议如下:首先手动将文件pipe理器指向可写入的DC。 我宁愿不这样做,如果我能避免它 – 我没有故意在这个networking上的可写DC。 更重要的是 – 我的虚拟现实是在一个空间,所以我甚至不能暂时“跳过”到正确的访问networking。 (这是我猜想的点,但即使如此…) 有没有人有一个build议,我怎么能做到这一点 – 我假设我可能需要从我的DC提取一些信息,并将其传递,如servicePrincipal。 或者也许只是在某处手动“设置”我的CIFS密码。
背景 我试图以我在AWS Directory Services Simple AD中创build的用户身份login(通过SSH,运行到运行sssd的Amazon Linux EC2实例)。 我使用sssd身份validation,并使用LDAP来识别用户(全部通过sssd 。 问题 我无法以adtool创build的用户adtool ,这意味着我很难自动将新用户添加到我的简单AD。 当我尝试,KDC说,它不能支持encryptiontypes(我假设这是用户的密码?)请参阅下面的“错误信息”部分。 但是,我可以以内置pipe理员用户身份login,也可以通过join域的Windows Server 2008 EC2实例上的Microsoftpipe理控制台创build的用户身份login。 所以我的设置工作,或者至less部分工作。 TL;需要DR解决scheme 我需要知道是什么,我做错了adtool ,阻止我作为用户创build的用户login。 我不明白自己做错了什么,我认为这对于试图做类似于我的事情的人来说可能是有用的。 下面的细节。 错误信息 这是在用adtool创build的用户尝试login时的sssd输出: (Thu Dec 31 15:35:35 2015) [[sssd[krb5_child[5459]]]] [sss_child_krb5_trace_cb] (0x4000): [5459] 1451576135.446649: Response was from master KDC (Thu Dec 31 15:35:35 2015) [[sssd[krb5_child[5459]]]] [sss_child_krb5_trace_cb] (0x4000): [5459] 1451576135.446788: Received error from KDC: […]
我最近遇到了一个问题,就是我的AD集成在一些debian盒子上。 我使用SSSD和krb5来允许PAM根据Active Directory同步和validation用户。 这已经工作了一年多,直到ADpipe理员将AD用户的UPN从[email protected]更改为[email protected] 。 现在,同步和用户名识别仍然有效,但authentication突然失败,因为发送给krb5的名称似乎是“ [email protected] ”。 krb5不知道这个领域,所以无法authentication用户。 将krb5.conf文件领域更改为ABCCOMPANY不起作用,因为领域实际上没有改变。 我可以kinit [email protected]使用kinit [email protected] ,它可以很好地logging我。 我不能,但是做kinit [email protected]因为它使krb5抱怨以下消息: kinit: Cannot find KDC for realm "ABCCOMPANY.DK" while getting initial credentials 我觉得这是有道理的。 SSSD将UPN中的ABCCOMPANY.DK发送到krb5,但krb5不能识别该领域,因为它不存在。 所以,问题是:我如何configurationkrb5来识别领域不同于UPN? 而纯粹的好奇心是一个额外的问题:这种做法(将UPN设置为除域名之外的其他东西)是一种可以接受的做事方式吗? 有一个域组件并不匹配一个域,这似乎很奇怪。 (Mon Jan 23 13:12:59 2017) [sssd[nss]] [sss_cmd_get_version] (0x0200): Received client version [1]. (Mon Jan 23 13:12:59 2017) [sssd[nss]] [sss_cmd_get_version] (0x0200): Offered version [1]. […]
我设法使Kerberos身份validation现在与Apache和同样打开,但迄今为止,谷歌浏览器似乎不公平。 除非我使用chrome.exe –auth-server-whitelist="*company.com"启动它,它只会popup一个login窗口,但根本不会接受任何凭证。 据我所知,只有在尝试使用单点login(SSO)的时候才应该使用–auth-server-whitelist选项,但是如果你还没有login窗口就可以直接使用的框,但到目前为止它没有。 这是我在apache日志中得到的错误。 [星期二十二月13 08:49:04 2011] [错误] [客户端192.168.1.15]未能validationkrb5凭据:未知的代码krb5 7
我在Redhat 6上打了一个configurationAlfresco 4.0.d的砖墙。 我正在使用Kerberos身份validation,它似乎正常工作,单点login正在主要露天应用程序本身。 我已经通过configuration步骤来获取共享应用程序的工作,但尝试尽我所能,每当浏览器访问http://server:8080/share和“Windows安全性”时,我一直在catalina.out中收到此错误'密码框。 WARN [site.servlet.KerberosSessionSetupPrivilegedAction] credentials can not be delegated! 以下是我迄今为止所做的: 使用AD用户和计算机,selectalfrescohttp帐户,并select'信任此用户委派任何服务(仅Kerberos)。 共享configuration,custom.xml 复制/opt/alfresco-4.0.d/tomcat/shared/classes/alfresco/web-extension/share-config-custom.xml.sample到share-config-custom.xml并编辑如下: <config evaluator="string-compare" condition="Kerberos" replace="true"> <kerberos> <password>*****</password> <realm>MYDOMAIN.CO.UK</realm> <endpoint-spn>HTTP/[email protected]</endpoint-spn> <config-entry>ShareHTTP</config-entry> </kerberos> </config> <config evaluator="string-compare" condition="Remote"> <remote> <keystore> <path>alfresco/web-extension/alfresco-system.p12</path> <type>pkcs12</type> <password>alfresco-system</password> </keystore> <connector> <id>alfrescoCookie</id> <name>Alfresco Connector</name> <description>Connects to an Alfresco instance using cookie-based authentication</description> <class>org.springframework.extensions.webscripts.connector.AlfrescoConnector</class> </connector> <endpoint> <id>alfresco</id> <name>Alfresco – user […]
我们正在实施一个系统,我们的客户是Windows XP,我们的服务器是Windows Server 2008 R2。 我们的客户使用DCOM来连接Windows 2008 Server中的COM +组件。 当我们的COM +包中定义的用户是本地用户时,它工作正常。 但是我们需要访问COM +组件中的共享,所以我们需要在我们的COM +包中使用AD用户。 但是,那么我们有Kerberos错误:KDC_ERR_S_PRINCIPAL_UNKNOWN 所以我读了这是一个失踪的SPN。 我使用networking监视器来跟踪该SPN的名称。 我有以下格式的SNAME:user @ domain(请参阅屏幕) 如果我运行以下命令setspn -s user @ domain domain \ user 它说这个名字是无效的。 它期望以下格式的名称:service \ host。 任何人都可以指出我在做什么错误来debugging呢? 另外请注意,在我遇到这个问题之前,我在事件日志中有一个preauthentication问题。 我在AD中去除了用户的预先validation。 谢谢 http://filedb.experts-exchange.com/incoming/2013/05_w19/653312/screen-scan.JPG
在我们的环境中,我们不会将Linux框joinMicrosoft域。 不过我们确实设置了Kerberos。 这使我们可以使用我们的AD凭证login到框中,只要有一个同名的本地帐户即可。 但是,当我使用sudo它只接受我的本地凭据。 如何使用我的AD密码与sudo? 谢谢。
这是驾驶我的屁股。 我试图设置一个AD集成的Ubuntu 16.04服务器,通过SSHlogin时接受Kerberos票据。 我有一个CentOS 7服务器在join到AD域之后接受门票没有问题,但是我没有在Ubuntu服务器上得到正确的configuration。 这是设置: Windows 2012 AD域(realdomain.tld) Fedora 25工作站(wksf25.realdomain.tld) CentOS 7服务器(sc7.realdomain.tld) Ubuntu 16.04服务器(su16.realdomain.tld) 一切都通过领域join到公元,这没有任何问题。 所有的东西都可以通过login或通过kinit获得Kerberos票据。 从wksf25到sc7的SSH服务工作得很好,而且我可以使用我在loginwkfs25时获得的kerberos票证通过SSHlogin。 这里是Ubuntu的设置步骤: 安装软件包: apt install realmd oddjob oddjob-mkhomedir sssd sssd-tools adcli samba-common krb5-user chrony packagekit libpam-krb5 编辑chrony.conf以使用AD DC。 设置realmd.conf: vim /etc/realmd.conf [users] default-home = /home/%D/%U [realdomain.tld] fully-qualified-names = no manage-system = no automatic-id-mapping = yes join域: realm join […]
在下列情况下尝试批量插入到SQL时遇到问题: 在Workstation A上运行pipe理工作室 在服务器B上运行的SQL 从位于服务器C上进行批量上传的文件 当我尝试和批量上传时,我得到的错误 Cannot bulk load because the file <filename> could not be opened. Operating system error code 5(Access is denied.). 现在我知道我们在这里有一个双跳的问题,需要整理委托。 已经为SQL设置了SPN,如下所示(SQL正在另一个端口上运行)。 SQL以域用户身份运行,并且SPN位于该帐户上。 command: setspn -l domain\sqluser result: MSSQLSvc/WIN-D04V1IOTESN MSSQLSvc/WIN-D04V1IOTESN.domain.local MSSQLSvc/win-d04v1iotesn.domain.local:55037 MSSQLSvc/WIN-D04V1IOTESN:55037 我也设置了从SQL用户帐户到CIFS和HOST的文件服务器的委派,但是无济于事。 我已启用Kerberos日志logging,并在事件查看器中看到以下事件: A Kerberos Error Message was received: on logon session Client Time: Server Time: 14:44:10.0000 8/9/2011 Z Error […]
我正在尝试使用SPNEGO servlet筛选器和8080监听端口来设置Java服务,以便在运行IIS7中托pipe的Web应用程序的主机上进行身份validation。 我遵循SPNEGO安装说明并为HTTP/canonical.host.name创build了一个SPN,绑定到执行Java服务authentication的用户。 在此更改之后,Java服务能够通过SPNEGO对客户端进行身份validation,但以自定义标识(即用户名代替ApplicationPoolIdentity)运行的IIS7应用程序池突然无法进行身份validation。 这里我不明白: 当没有使用(通过setspn -Q检查)定义的HTTP/canonical.host.name SPN时,Kerberos身份validation如何为IIS工作? 客户仍然要求并接收这个SPN的门票。 出于兴趣,我们尝试运行具有成功validation的Java服务标识的应用程序池。 只要定义了SPN,它仍然不起作用 – 尝试使用Kerberos票证进行身份validation失败, KRB_AP_ERR_MODIFIED返回KRB_AP_ERR_MODIFIED 。 作为SPN注册的用户运行应用程序池不会更改此行为。 Microsoft 指定 SPN包含一个端口号,但是IE不符合这个要求,并且永远不会在SPN中发送一个端口号(在这种情况下,Firefox和Chrome会遵循这个端口号)。 那么,有没有办法在同一个主机上有多个独立的SPNEGOauthentication服务?