如果我在域用户帐户下的某个主机上运行Windows服务,并且此帐户的密码稍后发生更改,那么服务现在无法启动,直到您更新密码为止? 如果不是,那么运行该服务的机器上的域用户帐户的凭证如何保持,以使其能够在密码更改后继续存在?
运行时: sudo mount -t nfs4 -o sec=krb5 sol.domain.com:/ /mnt 我在客户端得到这个错误: mount.nfs4: access denied by server while mounting sol.domain.com:/ 并在我读的服务器系统日志 UNKNOWN_SERVER: authtime 0, nfs/[email protected] for nfs/ip-#-#-#-#[email protected], Server not found in Kerberos database UNKNOWN_SERVER: authtime 0, nfs/[email protected] for krbtgt/[email protected], Server not found in Kerberos database UNKNOWN_SERVER: authtime 0, nfs/[email protected] for krbtgt/[email protected], Server not found in Kerberos database […]
我想知道是否可以直接从客户端机器创buildkeytab文件,而不使用Windows Server端的ktpass实用程序。 我希望这样做的主要原因是在Linux机器上使用一些shell脚本自动启用Windows Active Directory中的Kerberos身份validation集成。 谢谢
有谁知道IIS7不同的Windows身份validation提供程序的含义。 有3个可用的提供者 NTLM 谈判 协商:Kerberos的 NTLM是相当明显的我认为它的NTLM和谈判是Kerberos,如果是的话什么是谈判:Kerberos?
我一直花费数小时试图学习和理解IIS 7.5中的Windows身份validation,Kerberos,SPN和约束委派。 有一件事我没有得到,为什么让pipe理员,首席执行官等启用授权(即不禁用敏感账户授权)是“冒险”的。有人可以简单地向我解释这个吗? 请框架你的答案相对于内联网的环境。 我的推理是,这不应该成为一个问题,因为委托只是允许前端Web服务器在与其他服务器进行通信时代表Windows Authenticated人员进行操作。 如果这个人有访问权限,他们有权访问,我不明白为什么这应该是一个问题。 请原谅我的无知。 我主要是一名开发人员,但是现在我的公司运行得非常精简,而且我也不得不戴上服务器pipe理员帽子…不幸的是,它仍然不太合适,哈哈。
我的本地计算机使用Windows 7 Pro,属于由AD服务器pipe理的域LR。 login到我的电脑,同时连接到该领域的networking。 我可以用MIT Kerberos for Windows版查看TGT。 4.0.1。 我想访问外国领域的资源,FR。 LR和FR之间没有Kerberos信任,但它们允许彼此之间的TCP通信。 我用KDC(Red Hat IdM / FreeIPA)申请了FR的TGT,并在挑战时成功input我的密码。 再次,我可以查看TGT与MIT Kerberos for Windows版本。 4.0.1。 我现在可以通过SSH访问FR中的资源,而不需要密码,尽pipe源于LR。 问题是,当我拿到FR的TGT时,我的LR主pipe的TGT消失了。 在MIT Kerberos中只有FR TGT是可见的。 如果我locking了我的电脑,然后用我的密码解锁,现在FR TGT消失了,换成新的LR TGT。 看来针对Windows的MIT Kerberos一次只能存储一个TGT。 每个TGT完全适用于所有意图和目的的领域。 我怎样才能configuration麻省理工学院的Kerberos让我有两个TGT一次,每个领域? 是否有可能“划分”与多个客户端实例,每个指向不同的KRB5_CONFIG和本地密钥表? 如果我不能,是否有一个客户端Kerberos 5的替代Windows实现,即使在没有域间信任的情况下也是如此? PS – 我不想要信任。 不能得到信任。 更新:我之前忽略了一些这些细节,因为我认为它可能会混淆这个问题。 但根据布拉德的回答,这可能是有保证的。 我期望大多数本地软件将使用Kerberos的内置Windows实现,并始终使用LR密钥表。 但是,像我这样的高级用户使用Cygwin下的heimdal将SSH连接到FR。 我期望任何通过Cygwin DLLs使用heimdal和从来没有看到LR TGT(它不,至less不是默认情况下)。 我明确指出,继续前进。 棘手的部分进来非电力用户我必须支持谁不使用Cygwin,但使用PuTTY。 PuTTY允许您指定要使用的GSSAPI实现的库path和DLL。 例如,我正在configurationSSH会话来使用MIT Kerberos DLL而不是内置的Windows DLL。 我希望有一个DLL在那里,要么从来没有试图findLR […]
Windows Server 2008 R2。 SQL Server 2008 R2安装。 MSSQL服务作为本地系统运行。 服务器FQDN是SQL01.domain.com。 SQL01join到名为domain.com的Active Directory域。 以下是setspn的输出: C:\> setspn -L sql01 … MSSQLSvc/SQL01.domain.com:1433 MSSQLSvc/SQL01.domain.com WSMAN/SQL01.domain.com WSMAN/SQL01 TERMSRV/SQL01.domain.com TERMSRV/SQL01 RestrictedKrbHost/SQL01 RestrictedKrbHost/SQL01.domain.com HOST/SQL01.domain.com HOST/SQL01 然后我启动SQL Server Management Studio,然后连接到SQL01: 然后我运行以下查询: SELECT auth_scheme FROM sys.dm_exec_connections WHERE session_id = @@spid 结果是NTLM。 为什么结果不是Kerberos? SPN似乎是正确的使用本地系统帐户。 服务器不在群集中或使用CNAME。
无数次我遇到了SASL / GSSAPIexpression式。 我已经search了很多次,但我不明白它是什么以及它如何与Kerberos相关。 任何人对此有一个简单的解释?
是否有任何良好的(可靠的/免费的)ssh客户端在Windows环境中使用Active Directoryvalidation帐户轻松工作? 理想情况下,不需要Kerberos for Windows软件包? 我知道有各种修改的putty版本,支持GSSAPI身份validation,如果您已通过本地系统上的Kerberos进行身份validation(IE已使用Active Directory帐户login到Windows系统,则可以通过Kerberos将身份validation通过远程系统您通过SSH访问的远程服务器上存在相同的AD帐户) 有没有其他的SSH客户端支持Kerberos / GSSAPI身份validation使用本地的Windows AD生成的Kerberos凭据? 我发现这个页面有一个GSSAPI感知的Windows客户端列表,但我从来没有使用过任何一个。 这个页面似乎也意味着secureCRT也支持kerberos,但是我再也没有在kerberized环境中使用它。 任何与良好的SSH客户端的经验? 好,免费吗? 我对于各种修改版本的putty的经验是,它在访问Kerberized服务器时效果很好,但是如果你告诉它尝试使用GSSAPI,然后访问非Kerberized服务器,那么在尝试密码authentication之前,它会挂起将近一分钟。 它也依赖于Windows身份pipe理器的MIT Kerberos,这对我来说不是一个交易断路器,但是当我试图解释它是如何工作的时候,当我描述所有移动的部件时,他们的眼睛开始凝结。 谢谢!
我们有一个稍微复杂的IDAM设置: 也就是说,最终用户的机器和浏览器与父AD位于同一个networking中,我们基于Jetty的应用程序和可以与之通话的AD(本地AD)位于另一个networking中。 两个AD之间有双向的信任。 父networking中的浏览器在受信任的站点中具有本地域。 Jetty服务器的设置如下: 它使用针对本地AD中的主体生成的密钥表文件 它在本地AD中定义的用户下作为Windows服务运行 域,领域映射和kdc是针对本地AD的域定义的 它使用spnego – isInitiator设置为false; doNotPrompt是真的; storeKey是真的 问题是: 作为testing,从本地networking内的浏览器访问服务器(即链接到本地AD)的工作原理 – Kerberosdebugging信息出现在日志中,我可以在HTTPstream量中看到正确的Kerberos协商,并且用户自动login。 辉煌。 然而 ,从父networking中的浏览器访问服务器(这是我们的用户将如何做)不起作用! 浏览器得到一个401非法的,但然后提示input凭据,当input一个空白的屏幕。 然后单击地址栏并按Enter键,执行以下两项操作之一,具体取决于凭据是用于远程还是本地AD: 本地AD证书然后login,在日志中从头开始使用Kerberos(GET请求,401非法响应,Kerberos头部请求等) 远程AD证书不login(GET请求,401非法响应,看起来像一个NTLM头: Authorization: Negotiate <60 or so random chars> ) 无论哪种方式,它的提示是错误的! 有这些症状的解释吗? 我们的设置能做我们想要的吗? 关于上述描述可能是错误的:关于Jetty服务器,我提到的任何configuration都应该是正确的,就像我做的那样。 我很高兴提供更多的细节。 任何有关AD或父networking浏览器的configuration都有可能被怀疑,因为它不在我的控制之下,而且我已经将configuration报告给我,而不是自己看到它。