使用MIT Kerberos,kadmin实用程序支持创build具有明确的最大票证生命周期和更新生命周期的主体(add_principal的-maxlife和-maxrenewlife参数) ,这可能与领域的默认票证生命周期和更新生命周期不同。 因此,如果您的领域的默认使用期限为24小时,续约期限为7天,则给定的本金可能分别为1小时和1天。 我试图弄清楚Active Directory的Kerberos实现是否支持相同的事情。 我的直觉拒绝了,但我很难明确地certificate这一点,除非在帐户上找不到任何明显的属性来使这种能力成为可能。 任何人都可以确认或否认我的直觉答案?
我试图设置一个Java服务器的密钥表,以支持Windowsnetworking上的Kerberos身份validation。 即使在命令行工具的级别上,我也努力工作,甚至还没有达到服务器设置! 我现在的计划是试着让它在我的开发PC上运行,因为我有开发工作和debugging的工作。 所以我的目标是让Java服务器运行在我的电脑上,并且运行在同一台机器上的客户端连接到它。 这就是我迄今为止所做的事情,我真的错过了自己的方式,所以我可以做各种错误的事情! 创build了一个服务主体名称 我有一个我们的域pipe理员运行这个命令: setspn -A TEST/pc-name.mydomain.com my-user-name 这似乎成功完成,我可以成功列出这个SPN setspn -L my-user-name 创build一个keytab文件 我用这个命令创build了一个keytab: ktpass /princ TEST/[email protected] /pass <my-password> /ptype KRB5_NT_SRV_HST /out <keytab-filename> 这似乎成功地创build了一个keytab,尽pipe它警告说ptype和accounttypes不匹配(但是无论我为ptypeselect什么,我都会得到相同的警告)。 如果我运行这个命令: klist -k file:/<keytab-filename> 然后列出我期望的SPN,即TEST / [email protected] 问题! 现在我想检查keytab是否适用于这个SPN,所以我正在运行 kinit -t <keytab-filename> TEST/[email protected] 然后我得到一个错误“在Kerberos数据库中找不到krb_error 6客户端”。 我究竟做错了什么?
我有一个debian挤压主机,我无法在没有密码提示的情况下用kerberoslogin。 一个相同configuration的Ubuntu 12.04主机工作正常,可以login而不需要密码提示。 在kinit之后,klist给出: Ticket cache: FILE:/tmp/krb5cc_1000 Default principal: boti@REALM Valid starting Expires Service principal 14/02/2013 16:37 15/02/2013 16:37 krbtgt/REALM@REALM 现在,当我尝试通过sshlogin到debian-squeeze时,出现密码提示。 如果我没有进行authentication检查我的票,我得到: Ticket cache: FILE:/tmp/krb5cc_1000 Default principal: boti@REALM Valid starting Expires Service principal 14/02/2013 16:37 15/02/2013 16:37 krbtgt/REALM@REALM 14/02/2013 16:38 15/02/2013 16:37 host/debian-squeeze@ 14/02/2013 16:38 15/02/2013 16:37 host/debian-squeeze@REALM 所以显然我得到了一张票。 然而,sshdebugging日志给出: Postponed gssapi-with-mic for boti from […]
用户开始抱怨networking速度慢,所以我启动了Wireshark。 做了一些检查,发现许多PC发送类似于以下内容的数据包:(截图) http://imgur.com/45VlI.png 我模糊了用户名,计算机名称和域名的文本(因为它匹配互联网域名)。 计算机垃圾邮件试图暴力破解密码的Active Directory服务器。 它将以pipe理员身份开始,并按字母顺序排列在用户列表中。 物理上去PCfind附近没有人,这种行为是通过networking传播,所以它似乎是某种病毒。 扫描已经被恶意软件发送到服务器的计算机,超级反间谍软件和BitDefender(这是客户端的防病毒软件)不会产生任何结果。 这是一个有大约2500台PC的企业networking,所以重build不是一个有利的select。 我的下一步是联系BitDefender,看看他们能提供什么帮助。 有没有人看到这样的事情,或有什么想法可能是什么?
我们在DMZ中有很less的客户端服务器也有用户帐号,所有帐号都在shadow密码文件中。 我正在尝试整合用户login并考虑让LAN用户对Active Directory进行身份validation。需要身份validation的服务是Apache,Proftpd和ssh。 在咨询安全小组之后,我已经设置了具有LDAPS代理的DMZ,该代理反过来联系局域网中的另一个LDAPS代理(代理2),并且这个代理将authentication信息通过LDAP(作为LDAP绑定)传递给AD控制器。仅需要第二个LDAP代理,因为AD服务器拒绝用我们安全的LDAP实现说TLS。 这适用于使用适当的模块的Apache。在稍后阶段,我可能会尝试将客户帐户从服务器移动到LDAP代理,以便它们不分散在服务器周围。 对于SSH,我将proxy2joinWindows域,以便用户可以使用他们的Windows凭据login。然后,我创build了ssh密钥,并使用ssh-copy将它们复制到DMZ服务器,以便在用户通过身份validation后启用无密码login。 这是实施这种SSO的好方法吗?我错过了这里的任何安全问题,或者有更好的方法来实现我的目标?
根据我已经读过的一些文档,SQL服务器的服务帐户将在数据库引擎启动时创build一个SPN,从而允许kerberosvalidation。 我一直没能find任何文件说明什么权限的帐户将需要创build一个SPN。 那么,一个帐户需要什么权限(如果可能的话,禁止域pipe理员)来创build一个SPN?
如何检查我的IIS站点是否使用NTLM或Kerberos? 我怎样才能将身份validation从Kerberos更改为NTLM? 我正在使用IIS 7.5,我找不到任何回答这个问题,可以帮我一下吗?
用户原则实例的格式为username/instance@REALM并分隔密码。 根据一些消息来源 ,可以在MIT Kerberos中创build这样的原则。 ActiveDirectory是否支持此Kerberosfunction?
在Windown Server 2008域控制器上,我试图将一个服务主体名称(SPN)添加到用户帐户“Postmaster”,以便从Communigate电子邮件服务器启用Kerberos身份validation。 我正在使用的命令行的forms是: setspn -a imap/email-domain.com windows-domain\postmaster 当我运行这个命令时,我得到结果: Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com imap/email-domain.com Failed to assign SPN on account 'CN=Postmaster,OU=Users,DC=windows-domain,DC=com', error 0x2098/8344 -> Insufficient access rights to perform the operation. 这是最好奇的,因为我作为一个用户在组域pipe理员login。 我检查了这个帐户的有效权限,我看不到任何不包括在内。 我也尝试了不同的pipe理员帐户,结果相同。 为了排除这个问题,我还将用户Postmaster添加到域pipe理员,但没有更改结果。 我直接在域控制器实例上运行这个命令。 我可以毫不费力地查询SPN,我似乎无法写出它们。 我也尝试使用ktpass间接设置所需用户的SPN,但收到警告: WARNING: Unable to set SPN mapping data. …我认为是同样的访问不足的症状。 什么可能导致这个错误?
我所有的讨厌的生活,我已经处理了Windows域的这个限制 login – 控制台 集成身份validation(通常是networking应用程序) 我的凭据无法移动到另一台服务器(例如数据库或文件系统)。 他们必须信任机器2。 有没有改变这种行为的configuration? 在许多情况下,3跳将非常方便。 证书不应该委托两次(client-> server-> server)的具体原因是什么?