好吧,我在这里疯狂。 尝试设置OS X(10.8.2)NFS客户端以连接到Debian(6.0.6)nfs服务器。 我主要是按照这里的说明: https : //help.ubuntu.com/community/NFSv4Howto哪些是非常彻底的。 但是,有两个问题: 当我不使用Kerberos时,性能很糟糕(我认为某些东西一定是超时的),所有的文件显然都是由nobody:nobody拥有的。 做一个安装的目录需要几十秒。 当我尝试使用Kerberos,为服务器和客户端创build一个主体时,我无法装入共享。 客户端抱怨: mount_nfs: can't mount /mnt from servername.domain onto /home: Permission denied 我设置了两个主体, nfs/servername@REALM和nfs/clientname@REALM ,并将其复制到客户机和服务器上的/etc/krb5.keytab 。 服务器(根据Kerberos日志)获取nfs/servername.REALM票据,所以我怀疑OS X NFS客户端不是以某种方式使用它的主体。 有任何想法吗? 更新: /var/log/daemon.log报告: Oct 7 19:12:43 servername rpc.svcgssd[19635]: ERROR: GSS-API: error in handle_nullreq: gss_accept_sec_context(): Unspecified GSS failure. Minor code may provide more information – No supported […]
基本设置是一个OpenLDAP服务器。 用户configuration和密码设置。 现在我们决定添加一个MIT KDC来使用Kerberos。 我们将MIT KDCconfiguration为利用LDAP作为KDC数据库的后端。 我们创build主体并使用以下命令将其链接到现有的LDAP用户: addprinc -x dn=cn=test.user,ou=people,dc=example,dc=com test.user 问题是这会提示input一个新的密码,在获得Kerberos票据和执行LDAP绑定时会导致两个不同的密码。 有没有办法来同步这些密码? 也就是说,当用户使用kpasswd更改他们的密码时,我想要更改LDAP密码。 而当用户更改密码与ldappasswd,反之亦然。 任何人都有这个指导? 我似乎无法在互联网上find任何东西。
ApacheDS声称支持ldap和Kerberos,那么是否有可能使用它来validationWindows机器?
我有一个工作的Kerberos SSO设置,我用mod_jk使用apache和jboss。 Apache正在使用以下configuration来保护(通过kerberos)auto-login.htm页面: <Location /auto-login.htm> AuthType Kerberos AuthName "Kerberos Active Directory Login" KrbMethodNegotiate on KrbMethodK5Passwd on KrbAuthRealms KRB.SOMEDOMAIN.COM KrbServiceName HTTP/[email protected] Krb5Keytab /etc/krb/krb5.keytab KrbVerifyKDC on KrbAuthoritative on require valid-user #ErrorDocument 401 /login.htm </Location> 这工作100%,我可以用Kerberos / SSOlogin,并阅读我的Java应用程序中的remote_uservariables。 现在的问题是,如果用户无法通过Kerberos / SSOlogin,我想redirect到一个不受保护的login.htm。 我想到的解决scheme是设置一个401 ErrorDocument,但是当我通过在上面的代码中取消注释#ErrorDocument 401来设置它时,它始终会redirect到login.htm,因为返回401来请求用户凭据本质上是Kerberos的一部分/ SSO身份validation过程。 因此,结果是用户总是以login.htm结尾,并且从不完成Kerberos / SSOlogin过程。 任何帮助或替代解决scheme将不胜感激。 提前致谢 皮埃尔
成功将我的Linux Boxjoin到Windows AD域。 想要知道从其他pipe理员,如果我们有可能指定哪些组窗口允许login? 否则,任何有AD帐户的人都可以login。 build议?
我对使用Active Directory(AD)和Kerberos的Linux服务器是否需要创build计算机帐户感到困惑。 作为一台机器的Linux服务器是否需要join和AD域,并且这样做有一个计算机帐户有AD的authentication/授权服务? 这里有一些要求: 能够使用来自Linux服务器的AD进行基于用户和组成员的身份validation。 能够将本地Linux UID / GID号码映射到AD用户和组名(现在我们使用的是非AD LDAP服务器,并且我们为用户和组帐户保留了UID / GID号码,理想情况下,我想继续这种做法)。 能够将Linux Sudoer权限映射到AD组。 使用开源或社区工具/插件像SSSD,而不是像Centrify这样的付费商业产品。 我很担心在基于私有云的服务器上创build/删除大量的Linux计算机账户的负担,这些服务器可能不会那么长时间; 但我希望使用AD的中央用户帐户存储的好处。 注:我在2008R2function级别使用RHEL和Centos 6-7 Linux服务器和Windows Server 2012 AD。
我一直在绞尽脑汁,试图通过MIT Kerberos 5 Realm(在Arch Linux服务器上运行)进行Windows 7身份validation。 我已经完成了以下服务器(又名dc1): 安装并configuration了NTP时间服务器 安装和configurationDHCP和DNS(设置域tnet.loc) 从源代码安装Kerberos 设置数据库 configuration密钥表 设置ACL文件: * @ TNET.LOC * 为我的用户和我的机器添加了一个策略: addpol用户 addpolpipe理员 addpol主机 ank -policy users [email protected] ank -policy admin tom/[email protected] ank -policy hosts host / wdesk3.tnet.loc -pw MYPASSWORDHERE 然后,我做了以下的Windows 7客户端(又名wdesk3): 确保IP地址是由我的DHCP服务器提供的,dc1.tnet.loc确定 设置互联网时间服务器到我的Linux服务器(又名dc1.tnet.loc) 使用ksetup来configuration领域: ksetup / SetRealm TNET.LOC ksetup / AddKdc dc1.tnet.loc ksetip / SetComputerPassword MYPASSWORDHERE ksetip […]
我在Windows Server 2003 IIS服务器上安装了.net Web应用程序,在应用程序池中作为NETWORK SERVICE运行,并使用集成安全性连接到另一台计算机上的SQL Server。 SQL Server计算机也运行Windows Server 2003.因此,Web应用程序以身份DOMAIN\COMPUTER$连接,并且该帐户在SQL Server中具有login名和用户,所以一切正常。 我还在连接到同一台SQL Server计算机的同一个IIS服务器上安装了一个.net Windows服务。 Windows服务作为LOCAL SYSTEM运行,因此也应该以身份DOMAIN\COMPUTER$ 。 我已经在十几个不同的公司安装了同样的产品,通常所有的工作都是我所期望的,但是在最近的情况下,Windows服务无法连接到数据库,出现这样的错误: Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON' 任何想法,为什么这将是本地系统的情况下,而不是networking服务? 要在短期内解决这个问题,我必须切换到使用SQL Serverlogin,但如果有一个简单的解决scheme,则宁愿使用集成安全性。 安全或系统事件日志中没有错误消息,但我没有做任何事情来启用额外的日志logging。 通常我会认为这是某种Kerberos / ADtypes的问题,并按照这样的文章, 这将有所帮助。 但是,从networking服务工作的事实表明,我会检查正常的事情已经确定(例如SPNs已经正确设置,机器域帐户启用委派?)。 那么是什么情况出错? 如果没有我的客户的IT团队的帮助,我无法访问服务器,并且在服务器上安装了其他应用程序,我需要注意不要中断,这使得故障排除更加微妙。 任何疑难解答build议非常感谢!
我有腻子能够在我的Windows 7 x64客户端上使用gssapi来对抗KerberosloginSSH。 也就是说,它会转发您在login到Windows时获得的票证。 我不知道如何得到tortiseSVN做同样的事情。 我可以得到它提示我为我的凭据,每次我做任何事情,他们的工作,通过在configuration文件中更改从霓虹灯到农奴。 但是我需要它来使用这张票,所以我不必连续input我的用户名和密码。 如果Tortise不能做到这一点,有没有人知道一个Windows的svn客户端呢?
我试图找出在尝试SSH到生产主机时使用的SSH机制。 我看到SSH客户端可以select可用的模式。 但是我不确定select哪种模式以及如何。 SSHServer侧sshd_configconfiguration为: UsePAM yes PasswordAuthentication yes GSSAPIAuthentication yes KerberosAuthentication no KerberosOrLocalPassword no 我想知道如果身份validation使用kerberos或ssh_key的基础。