在一些故障排除期间,我从AD 2003域中删除了运行samba的Linux服务器的计算机帐户。 我们正在使用Kerberos进行身份validation,在删除机器帐户之后,我尝试再次使用该域join net ads join -U Administrator 但是我不断收到像这样的Kerberos错误: [2009/08/18 16:14:36, 0] libads/kerberos.c:ads_kinit_password(228) kerberos_kinit_password [email protected] failed: Client not found in Kerberos database Failed to join domain: Improperly formed account name 看起来,samba记得它曾经有一个AD帐户,并不断试图重新连接到它,但我想从头开始创build一个新的帐户。 我试图删除所有我能find的.tdb文件,以及/ var / cache / samba下的所有东西,但都无济于事 – 它仍然performance相同。 我也尝试在AD端创build机器帐户,但是当我尝试join时,我遇到了一个类似的错误,那就是无法使用机器帐户进行身份validation – 它看起来像是samba尝试以前的机器帐户密码,而我没有知道如何重置它,或者即使我能弄清楚samba使用什么 – 如何在AD中设置它。 任何帮助,将不胜感激,因为在这一点上我唯一能想到的是重新格式化和重新安装机器,我真的很喜欢不这样做。 提前致谢。
我知道,我们可以通过编辑以下关于:config设置来允许Firefox允许传递Windows凭据 –If using Kerberos– network.negotiate-auth.trusted-uris network.negotiate-auth.delegation-uris –If using NTLM– network.automatic-ntlm-auth.trusted-uris 并在Chrome中添加一个命令行开关 -–auth-negotiate-delegate-whitelist="*example.com" 但是,这些在公司范围内都难以pipe理。 有没有人有任何解决这个问题的好方法?
Windows客户端是否使用DNS将主机映射到特定的Kerberos领域? 具体来说,他们使用_kerberos.host.example.com IN TXT OTHERREALM.COMlogging?
我对Kerberos如何在Active Directory环境中工作有基本的了解,以及它用来validation用户和工作站到networking上的方法,但是我的问题是,因为Kerberos依赖于发布安全令牌,最终用户然后使用它来访问networking资源,系统(便携式计算机)不在域上能够仅使用活动目录用户的用户名和密码访问相同的networking资源? 我想如果仅仅使用用户证书,Kerberos会生成一个安全令牌并将其发给系统,但是似乎应该有更多的安全性来防止非域系统访问networking资源。 如果有人能够启发我,我会感激!
我正在尝试为一组具有以下特征的机器设置Chefpipe理的帐户: 如果没有本地帐户,则login被阻止。 如果有一个本地帐户与SSH密钥,使用那些进行身份validation是可能的。 如果存在具有本地密码的本地帐户,则使用该密码进行validation。 如果有本地帐户没有本地密码,则使用Kerberos。 我有这么多的工作。 但我想要做的最后一件事是通过本地locking密码(例如使用usermod -L )来禁用帐户login。 问题是,当本地密码被locking,PAM正在回落到Kerberos …并允许访问。 有没有办法configurationPAM,以便如果本地密码存在,但它被locking,它不会尝试Kerberos? 到目前为止,我能想到的最好的办法是通过用不可猜测的东西来打破本地密码来locking帐户。 但是,这有点粗糙,如果有人不“遵循程序”,打得不好
我们有一个基于FreeIPA的系统,pipe理员的密码已经过期,需要更改,但通过SSH的标准密码更改过程失败: sashka@cellar ~ ssh [email protected] [email protected]'s password: Password expired. Change your password now. Last failed login: Mon Jun 30 15:38:21 MSK 2014 from 116.10.191.195 on ssh:notty There were 6071 failed login attempts since the last successful login. Last login: Wed Apr 16 19:28:54 2014 WARNING: Your password has expired. You must change your password now […]
我正在尝试使用ktutil做一个keytab。 我可以selectencryptiontypes,但是ktutil手册页没有提供可能的select列表。 我也不知道哪种encryption方法是最好的! 我怎样才能找出这两个? 我想要最强大的encryptionfunction。 $ ktutil > add_entry -password -p [email protected] -k 1 -e [what goes here?!]
在CentOS上,我运行realm list并查看login-formats: %[email protected] 我想更改login-formats: %[email protected] login-formats: %U 我怎么去做这个? 我假设有一个.conf文件,我已经检查了sssd.conf和krb5.conf ,甚至在这些文件上检查了man 。 我想要做的是允许活动目录用户login到使用username@host而不是username@domain@host的Linux框。 目前username@domain@host工作正常,但不是username@host 。 任何帮助是极大的赞赏。
我正在使用Windows Storage Server作为文件服务器,现在需要为Linux客户机设置NFS共享 在我的Ubuntu桌面testing中,我安装了Kerberos Client,并使用kutil命令设置了keytab klist命令显示故障单,但是mount命令失败 这里是相关的细节: krb5.conf [libdefaults] default_realm = SUB.DOMAIN.COM dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true default_tkt_enctypes = aes256-cts-hmac-sha1-96 default_tgt_enctypes = aes256-cts-hmac-sha1-96 [realms] SUB.DOMAIN.COM = { kdc = ad.domain.com admin_server = ad.domain.com } [domain_realm] .domain.com = SUB.DOMAIN.COM domain.com = SUB.DOMAIN.COM Klist命令的输出: Ticket cache: FILE:/tmp/krb5cc_2595 […]
我注意到了SLES 11.2和CentOS 6.3上的这些Kerberos keytab错误消息: sshd[31442]: pam_krb5[31442]: error reading keytab 'FILE: / etc/ krb5. keytab' /etc/krb5.keytab在我们的主机上不存在,而且根据我所知的keytab文件,我们不需要它。 根据这个kerberos keytab介绍 : keytab是一个包含Kerberos主体和encryption密钥(这些都是从Kerberos密码派生的)对的文件。 您可以使用此文件login到Kerberos而不提示input密码。 keytab文件最常见的用途是允许脚本在没有人为干预的情况下对Kerberos进行身份validation,或者将密码存储在纯文本文件中。 这听起来像我们不需要的东西,也许没有它的安全性更好。 我怎样才能防止这个错误popup在我们的系统日志? 这是我的krb5.conf如果有用的话: banjer@myhost:~> cat /etc/krb5.conf # This file managed by Puppet # [libdefaults] default_tkt_enctypes = RC4-HMAC DES-CBC-MD5 DES-CBC-CRC default_tgs_enctypes = RC4-HMAC DES-CBC-MD5 DES-CBC-CRC preferred_enctypes = RC4-HMAC DES-CBC-MD5 DES-CBC-CRC default_realm = FOO.EXAMPLE.COM dns_lookup_kdc = […]