我正在玩Windows Server 2012 R2上的testing域。 我正在尽可能高的function级别运行,在我的小testing环境中没有向后兼容性问题。 不过,我已经意识到,尽pipe我支持 Kerberos AES身份validation,但对于任何用户,默认情况下都不启用。 我必须真正进入用户的属性,并检查“此帐户支持Kerberos AES 128位encryption”和/或“此帐户支持Kerberos AES 256位encryption”来启用它。 (我在将testing帐户添加到“受保护的用户”组中时首先意识到这一点,该组将策略设置为需要AES。之后,我所有的networkinglogin都开始失败,直到我检查这些checkbox。 我认为这可能是默认禁用,以确保向后兼容的一些系统,但我找不到一种方法来为所有用户启用此function,甚至解释当前的行为。 有任何想法吗?
我在RHEL6上使用sssdconfiguration了几台Linux服务器,用Active Directory Kerberos进行身份validation。 我也启用GSSAPI身份validation,希望无密码login。 但我似乎无法得到腻子(0.63)没有密码进行身份validation。 GSSAPI适用于configuration为AD身份validation的Linux系统(openSSH客户端),使用.ssh / config设置启用GSSAPI。 它也可以从Cygwin(openSSH客户端)使用,使用相同的.ssh / config设置以及运行kinit命令来获取票据。 另外,Samba在所有的Linux系统上共享,包括主目录在Windows资源pipe理器上工作而不需要密码(我不确定GSSAPI是否在那里发挥作用) 我可以尝试对此进行哪些排查? 我的大多数用户使用腻子。 另外,我不是Windowspipe理员,所以我不能在域控制器上做任何事情。 我的帐户只具有将服务器添加到AD域的权限。 我打开了putty SSH数据包日志logging。 我发现这种有趣的,我不知道如何处理这些信息: Event Log: Server version: SSH-2.0-OpenSSH_5.3 Event Log: Using SSH protocol version 2 Event Log: We claim version: SSH-2.0-PuTTY_Release_0.63 Outgoing packet #0x0, type 20 / 0x14 (SSH2_MSG_KEXINIT) Incoming packet #0x0, type 20 / 0x14 (SSH2_MSG_KEXINIT) Event Log: […]
我遵循这个优秀的post来configurationKerberos + LDAP: http://koo.fi/blog/2013/01/06/ubuntu-12-04-active-directory-authentication/ 但是,有一些本地用户用于服务。 当我尝试更改其中一个密码时,以root身份请求Current Kerberos password然后退出: passwd service1 Current Kerberos password: (I hit enter) Current Kerberos password: (I hit enter) passwd: Authentication token manipulation error passwd: password unchanged 如果我切换到本地用户并执行passwd ,则会向Kerberos请求一次,然后返回到本地: $ passwd Current Kerberos password: Changing password for service1. (current) UNIX password: 我的configuration类似于我上面发布的网站,一切工作正常,我不能以root身份更改本地用户的密码。 在此先感谢您的帮助。 3.8.0-29-generic #42~precise1-Ubuntu 更新1 2013-01-31: # cat /etc/pam.d/common-auth auth [success=3 […]
我们有以下设置: 一个域控制器( DC ,Server 2003 R2 Standard x64) 一个SQL Server( SQL ,Server 2008 R2 Standard x64) 一些客户。 所有的机器都在同一个域中。 所有正在使用的用户帐户都是域帐户。 SQL运行每个SQL Server 2005,2008,2008 R2,2012和2014的一个实例。 由于今晚( DC重新启动以安装自动Windows安全更新),通过Windows身份validation访问SQL 2005,2008和2008R2实例无法正常工作: 访问这些实例之一时 来自其中一个客户 使用Windows身份validation 发生以下错误(这是2008R2消息,2005/2008年消息是相似的): login失败。 login来自不受信任的域,不能与Windows身份validation一起使用。 (Microsoft SQL Server,错误:18452) 显然,消息文本不适用,因为只有一个域。 现在令人惊讶的是:只要用户在SQL上login(启动RDP sesson,甚至简单地运行runas /user:MYDOMAIN\someuser cmd并保持窗口打开),该用户就可以从所有客户端访问所有SQL Server实例没有任何问题,直到与该用户的凭据运行的进程closures。 这意味着我可以通过对SQL上的所有用户执行上面的runas命令来解决这个问题(并保持窗口打开),但是显然有些东西被严重破坏了。 我怀疑今晚DC的安全更新与它有关(因为这是唯一改变的),但是我宁愿避免卸载并重新启动它们中的每一个(安装了12个更新,而且DC真是老而慢)。 有没有人遇到过这个问题,并知道如何永久解决它? 任何其他的想法(除了花几天的时间成为一个Kerberos专家)?
我有一个非常类似的问题,就像CentOS 6.3上的这个线程中描述的那样,对2008R2 AD DC进行身份validation。 这里是我的krb5.conf,我知道一个事实XXXXXXX.LOCAL是真正的域名: [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = XXXXXXX.LOCAL dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true verify_ap_req_nofail = false [realms] XXXXXXX.LOCAL = { kdc = ad1.XXXXXXX.local kdc = ad2.XXXXXXX.local admin_server = ad1.XXXXXXX.local default_domain = XXXXXXX.LOCAL } [domain_realm] […]
如何从客户端机器(在全局组)(也是本地pipe理员)中检查域控制器是否使用NTLM或Kerberosvalidation了对域的login请求? 我知道默认情况下启用了Kerberos,但域Admin始终可以强制客户端使用其他协议进行authentication。 所以我只是想确定他们正在使用哪个协议。 有什么方法可以检查吗? 任何帮助,将不胜感激
我无法find一个有效的Windows Server 2008的kerbtray.exe。我只能find2000年和2003年。它不存在或只是用别的东西replace?
作为root用户,我可以更改密码: hussie:/home/claudiu# passwd Enter new password: Retype new password: passwd: password updated successfully 作为非root用户,我不能: claudiu@hussie:~$ passwd Current Kerberos password: passwd: User not known to the underlying authentication module passwd: password unchanged 我也不能从根改变另一个用户的密码: hussie:/home/claudiu# passwd claudiu Current Kerberos password: passwd: User not known to the underlying authentication module passwd: password unchanged 谷歌search的问题表明使用pwconv和pwunconv ,但我没有这些,不知道在哪里可以find他们: claudiu@hussie:~$ pwconv -bash: […]
许多工作站具有使用工作站身份validationCA模板颁发的过期计算机证书。 此模板的CA在2天内过期。 我已经部署了一个新的CA,有一个延长的date,并在本周末成功地注册了许多机器。 我现在担心closures的工作站,或者没有从企业CA获得新的计算机证书。 问: 什么是工作站证书用于? Kerberos的? 用户/机器是否可以在星期一上午(过期date)login? 一旦证书过期,机器能否获得新的证书? 由于我使用的是Windows 2012 R2,所以可能会使用低级别的NTLM作为Kerberos的替代品,这不是问题…虽然我不确定在所有情况下这是否可以接受:(例如DCOM注册的证书)
我目前正在编写一个puppet模块来自动化将RHEL服务器连接到AD域的过程,并支持Kerberos。 目前,我有通过kinit自动获取和cachingKerberos票证授予票证的问题。 如果这是手动完成,我会这样做: kinit [email protected] 这会提示inputAD用户密码,因此在自动执行此操作时出现问题。 我该如何自动化? 我发现一些post提到使用kadmin创build一个AD用户密码的数据库,但我没有运气。