我作为Linuxpipe理员的第一份工作是在一些非常高级的pipe理员下工作。 在所有这些情况下,kerberos被设置为用户请求安全令牌并且在一定时间内访问公司服务器。 现在,我已经开始在一家初创公司工作,并开始参加围绕devops和sre公司的会议。 我注意到,这些公司大多select使用ssh密钥,ldap和某种forms的configurationpipe理来确定谁可以访问哪些服务器。 大多数用户在他们的macbook上只有无密码的ssh密钥。 这是非常不安全的。 什么使SSH密钥设置更适合Kerberos设置?
在Goggle上有很多关于这个错误的引用,甚至在这里也有一个相同标题的问题,但是似乎“安装时服务器拒绝访问”似乎是一个万能的错误。 我已经尝试过其他人用来解决这个问题的build议,但是在我的情况下他们没有工作。 我正在尝试为Linuxnetworking设置一个基于Kerberos的NFS文件服务器。 我正在使用Ubuntu 11.04服务器和客户端。 尝试使用以下命令安装共享时: mount 192.168.1.115:/export/home/ /media/tmp 我得到: mount.nfs: access denied by server while mounting 192.168.1.115:/export/home/ 如果我从客户机或从服务器本身安装它,这是一样的。 在服务器上,在/var/log/syslog我得到: Aug 25 06:22:37 nfs mountd[1580]: authenticated mount request from 192.168.1.115:835 for /export/home (/export/home) Aug 25 06:22:37 nfs mountd[1580]: authenticated unmount request from 192.168.1.115:766 for /export/home (/export/home) 这是很奇怪的,因为它说它是authentication的要求,而不是否认。 / etc / exports中: /export *(rw,fsid=0,crossmnt,insecure,async,no_subtree_check,sec=krb5p:krb5i:krb5) /export/home *(rw,insecure,async,no_subtree_check,sec=krb5p:krb5i:krb5) […]
我有一个全新的服务器映像,只要它join域,就会失去它的信任。 我怀疑这是因为使用此Powershell脚本的LDAP版本发现的重复的SPN Powershell脚本 #Set Search cls $search = New-Object DirectoryServices.DirectorySearcher([ADSI]“”) $search.filter = “(servicePrincipalName=*)” $results = $search.Findall() #list results foreach($result in $results) { $userEntry = $result.GetDirectoryEntry() Write-host "Object Name = " $userEntry.name -backgroundcolor "yellow" -foregroundcolor "black" Write-host "DN = " $userEntry.distinguishedName Write-host "Object Cat. = " $userEntry.objectCategory Write-host "servicePrincipalNames" $i=1 foreach($SPN in $userEntry.servicePrincipalName) { Write-host "SPN(" […]
由于在运行SQL 2014的Win 7.1 Pro桌面和Windows 2012 R2 Datacenter Azure服务器上应用完整的补丁集,SQL Management Studio(2008和2014版本)将无法连接到SQL 2014 Azure服务器。 客户端连接尝试超时并失败,SQL Server错误5。 SQL Server事务复制继续在本地SQL 2008实例和远程SQL 2014实例之间正常工作。 此外,远程(Azure)服务器上的SQL Management Studio 2014可以连接到本地(现场)SQL 2008实例,而不会影响远程(Azure)SQL 2014服务器。 双向DNSparsing和IP连接是正常的。 我可以看到,远程SQL 2014实例在启动时正确地创build了它的SPN。 SQL 2014上有一个警告,表示某些客户端正在使用NTLM回退。 我没有SQL 2014的本地实例,也没有SQL 2008的远程实例。所以我不确定这是一个相关的因素,服务器是远程的,在Azure上,通过VPN,或者如果我会看到相同的修补本地客户端和修补本地SQL服务器的问题。 我注意到远程SQL 2014服务器上的SQL浏览器服务已停止并被禁用。 我不确定这是否是预补丁的情况。 但是我在默认端口上运行一个实例,而不是一个命名实例,所以我希望我不需要SQL浏览器服务? 这个补丁星期二有关于Server 2003networking文件共享的身份validation问题。 我还没有看到一般的AD身份validation问题或SQL Server身份validation问题的报告。 有其他人有这个问题或类似的? 任何build议,我应该试着回滚哪个KB? 我应该运行Kerberosconfiguration分析器吗? 我应该启动禁用的SQL浏览器服务吗? 任何帮助赞赏。 从服务器上删除MS15-027(KB3002657)并重新启动服务器不能解决问题。 删除客户端上的KB 3046049并重新启动客户端不能解决问题。 删除服务器上的KB 3046049并重新启动服务器不能解决问题,但错误代码从5更改为53(更常见的错误代码)。 编辑:这是不同于今晚的安全更新后 , SQL Server Windows身份validation失败的问题:login来自不受信任的域,虽然它可能具有相同的根本原因。 […]
我已经安装了SSH – 使用Kerberos V5进行单点login。 当用户密码过期时,会返回“ 警告:密码已过期”。 '并允许用户login! 我甚至在/etc/pam.d/password-auth进行了更改,使得pam_krb5.so位于pam_unix.so之上: 身份validation堆栈: auth requisite pam_krb5.so uid >= 500 #Google authentication configuration module auth [success=1 default=ignore] pam_access.so accessfile=/etc/security/access-local.conf auth requisite pam_google_authenticator.so auth [success=1 default=ignore] pam_unix.so nullok try_first_pass auth required pam_deny.so auth requisite pam_succeed_if.so uid >= 0 quiet 帐户堆栈: account required pam_unix.so broken_shadow account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid […]
我在使用Windows 2008 Server上的活动目录(已安装对UNIX系统的支持)上为Linux上的用户(确切地说是Fedora Core 15)设置auth时遇到问题。 我已经成功地设置了Kerberos,使用kinit -p <login>和klist进行testing以查看票证。 但我仍然无法login。 为了减less无用的答案:没有桑巴,Winbind,同样或其他软件允许。 只允许NIS / LDAP。 澄清:我想设置本地和SSH访问的客户端机器。 更新:我通过LDAPconfiguration了AD访问, getent passwd 106289gm和getent shadow提供了有效的getent passwd 106289gm ,但是getent group没有显示任何AD组。
所以我有一个服务器,并且每次用户或服务帐户login到计算机时,都会在系统日志中生成一个错误事件: A Kerberos Error Message was received: on logon session DOMAIN\serviceaccount Client Time: Server Time: 12:44:21.0000 10/9/2012 Z Error Code: 0x19 KDC_ERR_PREAUTH_REQUIRED Extended Error: Client Realm: Client Name: Server Realm: DOMAIN Server Name: krbtgt/DOMAIN Target Name: krbtgt/DOMAIN@DOMAIN Error Text: File: e Line: 9fe Error Data is in record data. 所以当然我把这个search了一下,我得到的唯一信息就是“它不一定表示有问题,你通常可以忽略它”。 那么,哎呀,那太好了,但是这些错误每分钟都会将我的系统日志发送给我,我真的很想让他们停下来。 有任何想法吗? 从Microsoft AskDS博客: KDC_ERR_PREAUTH_REQUIRED […]
我正在使用专用的Krberos 5领域(MIT,在Solaris 11上, krb5-config –version返回: Solaris Kerberos (based on MIT Kerberos 5 release 1.6.3)build立一个Solaris和Linux机器的环境Solaris Kerberos (based on MIT Kerberos 5 release 1.6.3) )。 我们还有一个独立领域的Active Directory(Windows 2003)服务器。 我的目标是让AD服务器中的所有用户以及基于MIT的主机/ nnn,nfs / nnn和cifs / nnn主体。 我正试图在这两个领域之间build立跨域信任。 假设如下: Unix领域: EXAMPLE.COM AD领域: AD.EXAMPLE.COM 我已经根据Microsoft文档build立了AD跨领域信任,具有双向信任。 会发生什么是跨领域authentication只能在一个方向上工作。 从AD到Unix的作品: # kinit [email protected] Password for [email protected]: root@clienttest2:~# kvno [email protected] [email protected]: kvno = 1 但是,相反却没有,并给了我一个错误消息: […]
我们目前正在build立一个SQL 2012环境,它将被用于存储SSRS将以sharepoint集成模式访问的数据。 我们将使用Kerberos进行身份validation。 我们希望能够做的是使用cnames的SQL服务器。 我们正在使用默认实例,每个服务器只需要一个实例。 我所关心的是kerberos,IE / .NET和CNAME的已知问题。 我想知道,只要我确保为SQL Server的CNAME和A-Record都正确设置了SPN,这个configuration是否会起作用?
在Samba AD DC HOWTO之后,我在ubuntu 14.04上build立了一个samba 4活动目录。 原则上一切运作良好,但我坚持使用SPNs为Web应用程序运行Kerberos身份validation。 当我尝试跑步 kinit -k -t keytabfile http/myserver.mycompany.com 我总是得到一个 kinit: Client not found in Kerberos database while getting initial credentials 到目前为止,我已经检查了什么: DNS正在向前和向后返回FQN kinit使用用户名 myserver.mycompany.com由dc和web服务器上的nslookup返回 myserver已经join域并被列入 CN =电脑,DC = myCompany中,DC = COM 没有dublicate SPNs 我创build了如下服务帐户/ SPNs / keytabs: samba-tool user create $ADS_USER $ADS_PW –userou=$USER_OU samba-tool user setexpiry –noexpiry $ADS_USER samba-tool spn […]