我正在尝试configurationSQL Server的全新安装以在域帐户下运行。 但是,在尝试使用另一个域帐户连接到服务器时出现间歇性错误,而且我仍然看到The SQL Server Network Interface library could not register the Service Principal Name在拖曳ERRORLOG文件时The SQL Server Network Interface library could not register the Service Principal Name 。 我已经将我的服务帐户(不是托pipe服务帐户,只是普通用户帐户)添加到AD组(例如SQL Servers ),并且已经将ACE添加到我的域“ Computers容器的ACL中,对于此组,select: 适用于:后代计算机对象 validation写入服务主体名称:允许 读取servicePrincipalName:允许 写入servicePrincipalName:允许 我已将此复制到所有域控制器,并使用有效权限选项卡和dsacls CN=SERVER01,CN=Computers,DC=fabrikam,DC=local ,后者确认新的ACE到特定的计算机对象的inheritance其中包括: Allow FABRIKAM\SQL Servers SPECIAL ACCESS for Validated write to service principal name <Inherited from parent> WRITE […]
由于在台式机上升级到Windows 7,我开始有一个病毒检查的问题。 特别是 – 在(托pipe文件的)CIFS共享上执行重命名操作时。 病毒检查程序似乎在文件pipe理器上触发一组消息: [filerB: auth.trace.authenticateUser.loginTraceIP:info]: AUTH: Login attempt by user server-wk8-r2$ of domain MYDOMAIN from client machine 10.1.1.20 (server-wk8-r2). [filerB: auth.dc.trace.DCConnection.statusMsg:info]: AUTH: TraceDC- attempting authentication with domain controller \\MYDC. [filerB: auth.trace.authenticateUser.loginRejected:info]: AUTH: Login attempt by user rejected by the domain controller with error 0xc0000199: STATUS_NOLOGON_WORKSTATION_TRUST_ACCOUNT. [filerB: auth.trace.authenticateUser.loginTraceMsg:info]: AUTH: Delaying the response by […]
我们的KDC服务器运行Ubuntu Dapper(2.6.15-28)或Hardy(2.6.24-19)。 Kerberos软件是Kerberos 5的MIT实现。默认情况下,Kerberos票证持续10个小时。 不过,我们想增加一点(如14小时)以更好地满足我们的需求。 我已经做了以下,但票的寿命仍然停留在10小时: 在所有KDC服务器上,在/etc/krb5kdc/kdc.conf “[realms]”下设置以下参数并重新启动KDC守护进程: max_life = 14h 0m 0s 通过“kadmin”,通过“modprinc-maxlife 14小时”改变了testing负责人的“maxlife”。 “getprinc”表明,最长的门票寿命确实是14小时:最大门票寿命:0天14:00:00 在Kerberos客户端机器上,在/etc/krb5.conf中的[libdefaults],[realms],[domain_realm]和[login]下设置以下参数(基本上,因为没有任何我尝试过的工作): ticket_lifetime = 13hrs default_lifetime = 13hrs 通过以上的设置,我猜想票的使用寿命将被限制在13个小时。 当我做k5start -l 14h -t <principal> ,我看到“renew until”行的结束时间现在是从开始时间起的14个小时: Valid starting Expires Service principal 04/13/10 16:42:05 04/14/10 02:42:05 krbtgt/<realm>@<realm> renew until 04/14/10 06:42:03 “-13小时”将在开始时间13小时后在“更新到”行结束。 但是,票还是在10个小时内过期(04/13 16:42:05 – 014/14 02:42:05)。 我没有更改正确的configuration文件/参数,没有在获取Kerberos票证时指定正确的选项,还是其他的东西?
鉴于用于身份validation的现有LDAP服务器,Windows桌面可以根据LDAP或Kerberosvalidation用户吗?
我目前正在尝试在FreeBSD上设置NFSv4服务器。 我在其他Unices(Solaris和Linux)上做了这方面的工作经验丰富,但对于FreeBSD我还是比较新的。 我的目标是实现以下目标: FreeBSD系统提供的文件 唯一的安全模式应该是krb5p 客户端是Linux(Ubuntu)和OSX 目前,我已经设置了一些东西,以便我需要一个有效的TGT来访问文件系统。 试图访问这些文件后,我可以在客户端上运行klist ,我可以看到nfs/domainname主体已被检索。 这表明NFS挂载的Kerberos部分是正确的。 我的问题是,所有的客户端访问仍然使用nobody用户执行。 当我执行ls -l时,我可以看到权限。 即使用户映射工作正常,但除非nobody有权对文件进行任何操作,否则我将获得拒绝权限。 这里有一个来自客户端的示例交互(在这种情况下是Ubuntu,但是OSX发生同样的事情)。 在这个例子中, /export/shared/testshare是FreeBSD服务器的共享目录: (我已经将实际域名更改为domain ,将Kerberos域名更改为REALM ) $ kinit Password for elias@REALM: $ klist Ticket cache: FILE:/tmp/krb5cc_1000_GBjtDP Default principal: elias@REALM Valid starting Expires Service principal 09/02/2013 09:40:47 10/02/2013 09:40:44 krbtgt/REALM@REALM $ sudo mount -t nfs4 -osec=krb5p,vers=4 lion:/export/shared/testshare /mnt $ ls -l /mnt […]
我正在创build一个java开放源代码包,可以很容易地将httpclient 3.1连接到受ntlm v1 / v2和Kerberos保护的资源。 我需要testing这个工具对付现实世界的服务。 是否有任何公开可用的端点受到ntlm或kerberos的保护,我可以获得用户名和密码进行testing? 基本上我正在寻找像http://browserspy.dk/password-ok.php ntlm \ kerberos。 此外,使用自签名证书的公共站点将有助于testing。
我试图Kerberize一个Apache服务器,并允许创build的服务器主体login到Active Directory。 我已经在网上提供了众多的教程之一,它似乎工作正常。 我在项目的Linux方面,企业IT在Windows方面。 IT为我提供了一个服务帐户和一个服务负责人。 在这个例子中,我将它称为HTTP/[email protected]。 他们为我提供了一个keytab文件,用于在AD服务器上运行一个名为ktpass.exe的工具。 我已经validation了AD / KDC的KVNO和keytab文件相匹配。 一切都很好。 主机名有一个合适的DNS Alogging,IP有合适的PTRlogging。 两台服务器都在同步。 我可以通过发行的keytab文件从AD / KDC申请上述服务主体的票据,如下所示: kinit -k -t http.keytab HTTP/[email protected] 这工作。 我获得一张票,我可以使用这张票来查询AD / LDAP目录。 keytab对于运行单点loginApache站点也很有效,这是本练习的目标之一。 半个小时过去了。 尝试使用上述kinit命令login失败,并显示以下消息: Client not found in Kerberos database 我无法validation服务主体,就好像委托人在AD服务器上被删除一样。 现在它变得很奇怪,至less对我来说: 通过请求,ADpipe理员再次运行ktpass.exe工具,为我的服务构build一个新的keytab文件。 KVNO(密钥版本号)在服务器上递增,导致我们的Apachetesting服务器停止validationKerberos单点login。 这与我目前的configuration预计。 令我们惊讶的是,现在kinit命令再次运行。 我们又买了半个小时,然后又停了下来。 我们的IT部门在这里处于亏损状态,他们猜测这是AD服务器本身的一个问题。 我想这是configuration,但据他们说,在他们的设置任何地方都没有半小时的限制。 我遵循http://www.grolmsnet.de/kerbtut/ (请参阅第7节),但是在我find的所有文档中,这个方法似乎是一样的。 我没有发现任何提及服务负责人的时间限制。 编辑:这似乎是一个复制问题。 虽然在复制过程中没有报告错误,但服务帐户的SPN值是从“HTTP/[email protected]”更改(恢复?)“[email protected] “30分钟后。
从字面上检查整个互联网之后,我希望我可以在这里得到帮助。 我正尝试使用nfs和单一login将ubuntu 12.04服务器集成到Windows 2012活动目录中。 build立: srv02 Windows服务器 srv03 Ubuntu文件服务器 srv04 Ubuntu应用程序服务器 域名:lettrich.local 领域:LETTRICH.LOCAL 什么工作 Windows 2012 AD安装与dns ntp和dhcp Ubuntu的服务器注册与msktutil广告和获取 用户的kerberos门票(例如kinit [email protected]作品) 和机器(kinit -k [email protected]工程), uids和gids可以使用AD上的UNIX和gssapi上的sssd使用身份pipe理来解决。 什么不行: 在srv03上的srv04上挂载一个NFS共享。 为服务主体获得一张kerberos票。 例如。 sudo kdestroy sudo kinit -k kinit: Client 'host/[email protected]' not found in Kerberos database while getting initial credentials srv03的krb5.keytab,srv04的模拟。 sudo klist -ke Keytab name: FILE:/etc/krb5.keytab KVNO Principal […]
我试图configuration一个Windows 7企业客户端,使用Kerberos和Linux KDC在Linux NFS服务器上安装NFSv4共享。 设置是: IPA服务器(操作系统:Scientific Linux 6.4,Pkg:ipa-server) NFS服务器(操作系统:Scientific Linux 6.4,Pkg:nfs-utils) Windows 7客户端(操作系统:企业版64位,function:NFS客户端) 脚步: 在IPA服务器上,为Windows客户端创build一个主体,并input密码: ipa host-add –ip-address=10.10.0.100 win7ent-client.contoso.com ipa-getkeytab -s ipa.contoso.com -p host/win7ent-client.contoso.com -k win7ent-client.keytab -P ^ | This will create a principal and register the client with IPA server Set a random password – eg – jU96e3Urp6 为客户端添加NFS服务: ipa service-add nfs / win7ent-client.contoso.com […]
我正在为在Java(JLAN项目)中完全实现的Alfresco CIFS协议configurationKerberos身份validation。 那已经不是第一次了,我曾经一枪就把它放好了。 在同一个networking中,使用ActiveDirectory Windows 2008R2和相同的过程,我已经成功完成了两个环境的设置,但生产环境给我带来麻烦。 生产密钥表由ktpass在ActiveDirectory上用RC4-HMAC生成,就像其他环境一样。 帐户AlfrescoCifsP是专门为生产和这个唯一的服务: ktpass -princ cifs/[email protected] -mapuser MYDOMAIN\AlfrescoCifsP -pass <password> -crypto RC4-HMAC-NT -ptype KRB5_NT_PRINCIPAL -out c:\temp\prod.keytab 现在我尝试在RedHat 5.8上使用它,使用版本为1.6.1-70-el4的 MIT Kerberos库和实用程序,并且出现以下错误: $ kinit -k -t prod.keytab cifs/myserver.mydomain.com kinit(v5): Key table entry not found while getting initial credentials 以下是我查过的(很多次): 我的krb5.conf是默认领域设置 我可以用ktutil打开prod.keytab并列出cifs/myserver.mydomain.com的插槽 我可以通过密码和命令kinit cifs/myserver.mydomain.com进行身份validation kvno cifs/myserver.mydomain.com将返回与keytab条目相同的密钥号码 我也删除了ActiveDirectory帐户,并再次做的东西。 还是一样的结果。 所以一切都成功了。 这是成功的两个服务帐户,并在第三个失败。 唯一的区别可能是SPN的长度比其他的长一些,但是远小于260个字符的SPN限制。 我已经放大了kinit -k […]