在Kerberos中,身份validation服务器(AS)和票证授予服务器(TGS)通常在同一台服务器上实现。 这台机器被称为密钥分配中心(KDC)。 当然,在同一台物理机器上实现这些服务是有道理的,就像在中小型networking中一样,把这两种服务分开是过分的。 此外,我有一个相对可靠的来源,其中说(翻译): TGS和AS必须访问相同的DB =>在不同的机器上实现TGS和AS没有什么意义 但是,我不知道哪个数据库必须在两者之间共享。 这是我的想法,我将如何分离AS和TGS,没有共享数据库: 由于AS和TGS是分开的,他们有不同的主密钥 应用服务器拥有一个数据库,所有用户都拥有各自的主密钥(用户login,encryption会话密钥时使用)以及TGS的主密钥(用于encryption请求的TGT)。 TGS有一个数据库,它允许它确定哪个用户被允许使用哪个服务(ACL,撤销列表…)以及具有所有服务的数据库以及它们各自的主秘密(encryption票证)。 当用户想要使用服务(简化)时: 在AS进行身份validation 获取使用TGS主密钥encryption的票证授予票证(TGT)以及使用用户主密钥encryption的会话密钥。 与TGT联系TGS 获取一张使用服务主密钥encryption的票 联系服务与机票 我错过了什么东西,还是真的没有任何问题分离AS和TGS?
我有一个Web应用程序(主机名:service.domain.com),我希望使用Kerberos身份validation来识别login到Windows域的用户。 Microsoft AD(Windows Server 2008 R2)提供了Kerberos服务。 该服务是使用Spring Security Kerberos扩展库来实现SPNEGO / Kerberos协议的Java Web应用程序。 我在AD中创build了一个包含共享密钥的密钥表文件,该密钥足以validation客户端浏览器使用Web应用程序发送的Kerberos票据。 我的问题是,服务主机(service.domain.com)需要有防火墙访问(TCP / UDP 88)到KDC(kdc.domain.com),或者是密钥表文件足以让服务主机能够解密Kerberos票据并提供身份validation?
在FreeBSD 10.0中运行Windows Server 2012 R2的Active Directory中使用sssd与AD后端与Kerberos TGT一起工作,对用户进行身份validation所需的步骤是什么?
对Apache2 / Linux上运行的PHP Web应用程序启用集成Windows身份validation的最佳方法是什么? networking中有一个Windows域控制器用于authentication。 我发现这些apache模块: mod_auth_kerb所 mod_auth_ntlm_winbind 但是这些模块似乎已经过时了(最近更新了2007/2008)。 有没有更好的,更新的方法来做到这一点?
我有一个工作AD / Linux / LDAP / KRB5目录和身份validation设置,只有一个小问题。 当一个账户被禁用时,SSH公钥authentication仍然允许用户login。 很明显,kerberos客户端可以识别一个禁用的帐户,因为kinit和kpasswd返回“客户端凭证已经被撤销”,没有进一步的密码/交互。 是否可以configurationPAM(在sshd_config中使用“UsePAM yes”)禁止login已禁用的帐户,其中身份validation是由publickey完成的? 这似乎不工作: account [default=bad success=ok user_unknown=ignore] pam_krb5.so 请不要在你的答案中引入winbind – 我们不使用它。
为什么降级域控制器仍在authentication用户? 每当用户使用域帐户login到工作站时,这个降级的DC对其进行身份validation。 其安全日志显示其login,注销和特殊login。 我们新的DC安全日志显示了一些机器login和注销,但与域用户无关。 背景 server1 (Windows Server 2008):最近降级的DC,文件服务器 server3 (Windows Server 2008 R2):新的DC server4 (Windows Server 2008 R2):新的DC 日志 安全日志事件: http : //imgur.com/a/6cklL 。 来自server1的两个示例事件: Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on. Subject: Security ID: NULL SID Account Name: – Account Domain: – Logon ID: 0x0 Logon Type: 3 New Logon: Security […]
我有一个从备份中恢复的Windows 2008 R2独立域控制器。 原始的DC离线。 当我用有效的用户凭证login时,出现错误: “服务器上的安全数据库没有该工作站信任关系的计算机帐户” 我怎样才能login到域控制器,并修复任何破坏? 这是森林里唯一的DC。 对于它的价值,我在Rackspace托pipe这台服务器,所以我的物理选项是有限的。
我有一个小而不断增长的Linux服务器networking。 理想情况下,我想要一个中心位置来控制用户访问,更改密码等…我已经读了很多有关LDAP服务器,但我仍然对select最佳的身份validation方法感到困惑。 TLS / SSL足够好吗? Kerberos有什么好处? 什么是GSSAPI? 等…我还没有find一个明确的指导,解释这些不同的方法的优点/缺点。 感谢您的帮助。
我在Apache上使用mod_auth_kerb实现了SSO身份validation。 我的configuration如下所示: <Location /login/ > AuthType Kerberos AuthName "Kerberos Login" KrbMethodNegotiate on KrbAuthoritative on KrbVerifyKDC on KrbAuthRealm D.ETHZ.CH Krb5Keytab /etc/HTTP.keytab KrbSaveCredentials on RequestHeader set KERBEROS_USER %{REMOTE_USER}s </Location> 我的问题是,没有require valid-user ,mod_auth_kerb甚至不尝试authentication用户和KERBEROS_USER结果是(null) 。 如果我添加require valid-user ,那么如果浏览器支持,用户将被自动validation,但如果浏览器不支持Kerberos协商,则会显示一个难看的模态login表单(ala HTTP Basic Auth)。 我想实现的是,如果用户访问/login/ ,mod_auth_kerb尝试通过Kerberos协商来validation用户。 如果失败,则会向用户呈现正常的HTMLlogin表单。 有没有可能以这种方式configurationApache / mod_auth_kerb?
因此,我正在build立一个包含所有标准内容(文件,电子邮件等)的小型networking,并决定使用Kerberos + LDAP解决scheme。 任何想法或build议海姆达尔与麻省理工? 我之前曾经使用过麻省理工学院(MIT),而且是切赫•海姆达尔(Heimdal),但是我真的不知道使用其他理由的真正原因。 我只是知道,我希望不要意识到我希望在完整的用户数据库上运行Heimdal后运行MIT。 如果有其他信息是有用的,我很乐意提供。