我正在设置一个testing环境,Linux(Ubuntu 10.04)客户端将对Windows Server 2008 R2域服务器进行身份validation。 我正在按照官方的Ubuntu指南在这里build立一个Kerberos客户端: https : //help.ubuntu.com/community/Samba/Kerberos ,但是在运行kinit命令连接到域服务器时遇到了问题。 我正在运行的命令是: kinit [email protected] 。 此命令返回以下错误: Realm not local to KDC while getting initial credentials 。 不幸的是,我找不到任何人通过谷歌search,经历了这个确切的错误,所以我不知道这是什么意思。 客户端能够ping服务器的主机名,所以DNS服务器指向域服务器。 以下是我的krb5.conf文件: [libdefaults] default = DS.DOMAIN.COM dns_lookup_realm = true dns_lookup_kdc true [realms] DS.DOMAIN.COM = { kdc = ds.domain.com:88 admin_server = ds.domain.com default_domain = domain.com } [domain_realm] .domain.com = DS.DOMAIN.COM […]
我一直在考虑在我们的内部Web服务器上部署mod_auth_kerb来启用SSO。 我可以看到的一个明显的问题是,这是一个全有或全无的方法,无论您的所有域用户都可以访问网站。 是否有可能将mod_auth_kerb与mod_auth_kerb的东西结合起来检查LDAP中特定组中的组成员身份? 我猜KrbAuthoritative选项会有这个事情呢? 此外,据我了解,该模块设置用户名为username@REALMauthentication后,但当然在目录中的用户只存储在用户名。 此外,我们运行的一些内部站点(如trac)已经有一个用户configuration文件链接到每个用户名。 有没有办法解决这个问题,或许通过剥离authentication之后,以某种方式?
有没有可以使用的命令行程序?
几乎没有(〜30)Linux(RHEL)盒子,我正在寻找集中和简单的pipe理解决scheme,主要是为了控制用户帐户。 我熟悉LDAP,并且我从Red Hat部署了一个IPA ver2(== FreeIPA)的试点。 据我所知,理论上IPA提供了“MS Windows域”的解决scheme,但是一目了然,它还不是那么容易和成熟的产品。 除了SSO,是否有任何安全function只能在IPA域中使用,而在使用LDAP时不可用? 我对IPA域的DNS和NTP部分并不感兴趣。
曾几何时,南美有一个美丽的温暖的虚拟丛林,还有一个鱿鱼服务器住在那里。 这里是networking的感性形象: <the Internet> | | A | B Users <———> [squid-Server] <—> [LDAP-Server] 当Users请求访问Internet时, squid询问他们的名字和护照,通过LDAP他们进行身份validation,如果ldap批准他们,则授予他们。 大家都很开心,直到有些嗅探者偷走了用户和鱿鱼之间的通行证[pathA]。 这个灾难发生是因为squid使用了Basic-Authentication方法。 丛林里的人聚集在一起解决这个问题。 一些兔子提供使用NTLM的方法。 蛇喜欢Digest-Authentication而Kerberos推荐的树木。 毕竟,丛林的人和所有人提供的解决scheme很困惑! 狮子决定结束这个情况。 他高呼解决scheme的规则: 解决scheme是安全的! 该解决scheme适用于大多数浏览器和软件(例如下载软件) 该解决scheme是简单的,不需要其他庞大的子系统(如桑巴服务器) 该方法不是取决于特殊的领域。 (例如Active Directory) 然后,一只猴子提供了一个非常合理的,全面的,聪明的解决scheme,使他成为丛林的新国王! 你能猜到什么是解决scheme? 提示: squid和LDAP之间的path受到狮子的保护,因此解决scheme无法保护它。 注意:如果故事是无聊和杂乱的,但是大部分是真的! =) /~\/~\/~\ /\~/~\/~\/~\/~\ ((/~\/~\/~\/~\/~\)) (/~\/~\/~\/~\/~\/~\/~\) (//// ~ ~ \\\\) (\\\\( (0) (0) )////) (\\\\( __\-/__ )////) (\\\( /-\ )///) (\\\( […]
这是我最近设置的东西,是一个相当大的痛苦。 我的环境变得鱿鱼不可见地对Windows 2008服务器的Windows 7客户端进行身份validation。 NTLM不是一个真正的select,因为使用它需要每个客户端的registry更改。 微软自Windows 2000以来一直推荐使用Kerberos,所以终于可以获得这个程序了。 许多非常感谢Squid邮件列表的Markus Moeller帮助完成这个工作。
显然,/ dev / random是基于硬件中断或物理硬件的类似不可预知的方面。 由于虚拟机没有物理硬件,因此在虚拟机内运行cat /dev/random不会产生任何结果。 我使用Ubuntu Server 11.04作为主机和客户机,使用libvirt / KVM。 我需要在VM内设置Kerberos,但krb5_newrealm只是永远挂起“加载随机数据”,因为系统没有产生任何数据。 有谁知道如何解决这个问题? 是可以通过主机的/ dev /随机(这是非常健谈)进入虚拟机,所以虚拟机可以使用它的随机数据? 我已经读过,有一些软件的select,但它们不适合密码学,因为它们不够随机。 编辑:看来,猫/ dev /随机在虚拟机确实产生输出,只是非常非常缓慢。 在“载入随机数据”的时候,我等待了大约两个小时,从而获得了我的领域设置。 最终它足够继续。 我仍然对加速这个方法感兴趣。
假设我有四台电脑,Laptop,Server1,Server2,Kerberos服务器: 我使用从L到S1的PuTTY或SSHlogin,提供我的用户名/密码 从S1我然后SSH到S2。 Kerberos对我进行身份validation时不需要密码 描述所有重要的SSH和KRB5协议交换:“L发送用户名到S1”,“K发送…到S1”等 (这个问题打算由社区编辑,请为非专业读者改进 。)
我已经和服务原理名称摔了几次了, 微软的解释是不够的。 我正在configuration一个IIS应用程序来处理我们的域,看起来我的一些问题与我需要在运行托pipe我的站点的应用程序池的windows服务帐户上configurationhttp特定的SPN有关 。 所有这一切使我意识到我只是没有完全得到服务types(MSSQL,http,主机,termsrv,wsman等),Kerberos身份validation,活动目录计算机帐户(PCName $),Windows服务帐户,SPN之间的关系,以及我用来尝试访问服务的用户帐户。 有人可以请解释Windows服务原则名称(SPNs),而不是简单的解释? 奖励积分的创造性比喻,会引起中等经验的系统pipe理员/开发人员的共鸣。
编辑:重新格式化为问答。 如果任何人都可以从Community Wiki中将其更改为一个典型的问题,那么这可能也更合适。 我如何才能通过Active DirectoryvalidationOpenBSD?