使用Kerberosconfiguration文件… [realms] DOMAIN.COM = { kdc = dc1.domain.com admin_server = dc1.domain.com } … Linux可能会与Active Directory进行密码validation,而不必是AD域成员: $ kinit jdoe Password for [email protected]: $ klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: [email protected] Valid starting Expires Service principal 01/12/15 15:36:16 01/13/15 01:36:25 krbtgt/[email protected] renew until 01/19/15 15:36:16 此时,您可以使用PAM在/ etc / passwd中定义本地Linux用户,但通过Active Directoryvalidation其TTY会话。 通过krb5的Authn是作为每个login上下文完成的: auth sufficient pam_krb5.so use_first_pass 但是,如果krb5已经作为PAM全局默认值的一部分来实现,那么为什么Samba也没有select呢? 我看到/etc/pam.d/samba包含了Kerberized […]
将计算机对象添加到AD组时,组成员身份在哪个时间点变为活动状态? 是否有某种types的kerberos刷新间隔(类似于组策略刷新)? 我知道它变得活跃,当计算机重新启动时,我也知道klist -lh 0 -li 0x3e7 purge技巧。
每个Active Directory域控制器充当KDC,AFAIK。 但是有没有什么情况下Active Directory可以有一个独立的 KDC服务器? Active Directory甚至有可能吗?
当从用户传递凭据到IIS然后从IIS传递到SQL时,我遇到了使Windows身份validation(Kerberos)起作用的问题。 我已经为SQL设置了SPN,并设置了IIS服务器帐户以允许委派。 如果我将IIS计算机帐户设置为允许任何服务的委派,它将起作用: 但是,如果我为特定的服务设置它,凭证不会传递,并且出现与匿名用户连接的错误: 正如您所看到的,我正在连接到SQL Express实例,并且已经设置了一些SPN来尝试解决这个问题,没有任何一个运气好。 很明显,它允许任何服务的时候,它的工作事实,对我说,这个服务列表中还有其他东西丢失,但我不知道是什么!
我们已经在我们的有线networking上正确configuration了LDAP + Kerberos。 现在我们希望我们的用户使用他们的正常凭证login到我们的WiFinetworking。 我发现很多关于LDAP + RADIUS的HOWTOS,但是没有一个提到Kerberos。 任何人都可以指向我一个很好的将RADIUS与Kerberos集成的HOWTO? 我在Usenet上只发现了这篇短文和一些非信息性文章。 编辑:系统是使用OpenLDAP和Heimdal(Kerberos)的Gentoo Linux。 WiFi硬件是几个带有OpenWRT的Linksys WRT54GL。
当我启动SQL Server的Kerberosconfigurationpipe理器并尝试连接到本地计算机时,出现“无法从系统访问用户主体信息的Kerberos Configuration Manager for SQL Server错误” Googlesearch返回的结果最less。 http://social.technet.microsoft.com/Forums/en-US/717d6821-f3f4-43a6-8bba-5eb4804df499/unable-to-access-user-principal-information-from-the-system-error-when-试图对推出的Kerveros?论坛= sqltools http://social.msdn.microsoft.com/Forums/sqlserver/en-US/717d6821-f3f4-43a6-8bba-5eb4804df499/unable-to-access-user-principal-information-from-the-system-error-当-试图对推出的Kerveros?论坛= sqltools 我正在使用单个帐户在单个域中工作。 这个系统中的用户都不是孤立的,或者显示一个GUID而不是他们的ID。 我真的想用这个工具来帮助解决我的Reporting Services Kerberos问题。 该工具生成的日志显示以下错误: 9/16/2014 11:43:05 AM Info: Connect to WMI, \root\cimv2 9/16/2014 11:43:37 AM Error: Access of system information failed System.Runtime.InteropServices.COMException (0x80070035): The network path was not found. at System.DirectoryServices.DirectoryEntry.Bind(Boolean throwIfFail) at System.DirectoryServices.DirectoryEntry.Bind() at System.DirectoryServices.DirectoryEntry.get_AdsObject() at System.DirectoryServices.PropertyValueCollection.PopulateList() at System.DirectoryServices.PropertyValueCollection..ctor(DirectoryEntry entry, […]
将新SPN添加到Kerberos域时,可以select将SPN映射到用户。 一般来说,我通过集成Windows身份validationjoin域,这为服务创build了一个新的计算机帐户,但现在,我想尝试使用没有IWA的Kerberos。 我相信我对Kerberos如何为计算机主机validation客户端(对于我正在尝试的function来说足够好)有一个全面的了解 – 但是,将SPN映射到域用户的确切做法是什么? 编辑:我不是问SPNs如何工作。 我正在具体询问将SPN映射到域USER的细节。 回答: Kerberos将允许特定用户主持此服务 – 而不是使用计算机主机帐户进行身份validation,则服务器将join到该特定用户下的Kerberos域中。 身份validation通过此用户进行。 任何进一步的信息将不胜感激。
我有一个连接到Windows KDC的Linux主机的Kerberos问题。 我怀疑错误版本的Kerberos密钥是责备。 一种可行的方法是删除SPN并重新创build它,但这是在生产环境中,如果您愿意,我必须以“只读”方式进行debugging。 如何从Active Directory中的委托人中检索当前的Kerberos KVNO?
我发现各种谷歌的结果,但似乎没有解决我的问题。 我正在设置一个新的WINDOWS 2008 R2盒子,用于通过我们的Intranet中运行的IIS 7.5中的networking工具与现有的SQL 2012盒子进行通信。 我们要使用Windows身份validation – IE – > Web Server – > SQL。 我们正在使用Kerberos。 当在Web服务器本地查看工具时,一切正常,但是一旦我尝试在远程客户端上查看它,就会出现“用户login失败NT AUTHORITY \ ANONYMOUS LOGON”错误。 让我分解我们如何拥有网站 – 在经典模式下以ApplicationPoolIdentity身份运行.NET 2.0的应用程序池将Extended Protection设置为Off,启用Windows身份validation,启用内核模式身份validation,并且启用的Providers是(按顺序)谈判和NTLM。 ASP.NET模拟已启用设置为模拟为已validation的用户。 SQL连接string,格式如下: Data Source=THESQLBOXNAME;Initial Catalog=DATABASENAME;Integrated Security=True 我有一个testing页,我已经放置在Web服务器(按照上述设置),显示以下数据: HttpContext.Current.User.Identity.IsAuthenticated是true HttpContext.Current.User.Identity.Name是预期的用户(用户启动浏览器) System.Security.Principal.WindowsIdentity.GetCurrent.Name是预期的用户 我尝试一个基本的SQL查询到SQL框,并得到上面提到的login错误。 我已经检查了AD,并validation了网页框已经设置了委托 – “仅将此计算机委托给指定的服务/仅使用Kerberos” 我在运行IIS 7.5的现有WINDOWS 2008 R2框上运行了这个testing页面(使用上面提到的相同设置),并且没有任何错误。 我已经检查了这两个网页框的SPN设置,它们是相同的(机器名除外): setspn -L EXISTINGBOX WSMAN/EXISTINGBOX.domain.com WSMAN/EXISTINGBOX TERMSRV/EXISTINGBOX.domain.com TERMSRV/EXISTINGBOX HOST/EXISTINGBOX.domain.com HOST/EXISTINGBOX […]
我试图通过目标DNS名称( corp.example.com)尝试进行AD身份validation的Linux客户端有问题。 我有两个域控制器服务器DC1(10.0.0.3/24) , DC2(10.1.0.3/24)两个域控制器corp.example.com 。 在开始之前,每个Linux客户端都有两个AD服务器中的一个IP地址在其上明确定义。 我接着用IP地址replace了域名(corp.example.com),如下图所示。 testing它,它工作得很好。 但是,通过closures某个Dome Controller服务器来testing故障转移会导致某些Linux客户端无法进行身份validation和超时。 当我认为这是一个networking问题时,请参阅DC / DNS故障转移与全球/常见的DNS roundrobin为我原来的职位。 在Linux客户端上: /etc/openldap/ldap.conf中 uri ldap://DC1 ldap://DC2 base dc=corp,dc=example,dc=com 的/etc/krb5.conf [libdefaults] default_realm = corp.example.com clockskew = 300 dns_lookup_kdc # default_realm = EXAMPLE.COM [realms] corp.example.com= { kdc = corp.example.com default_domain = corp.example.com kpasswd_server = corp.example.com admin_server = corp.example.com } # EXAMPLE.COM = { […]