背景: 我们有许多通过VPN连接的ADnetworking(域),并build立了AD信任关系。 我们有一个外部托pipe的Web服务器,并为可信networking内的任何用户configuration了无缝validation 。 这种方法可行,但是由于我们IT部门没有pipe理的外部networking服务器的VPN的存在被networking团队认为是太大的安全风险。 我没有pipe理员访问内部networking,但在Web服务器上有完整的pipe理员访问权限。 想要: 通过在DMZ中使用只读DC来处理所有身份validation请求,在没有VPN的情况下build立相同的无缝身份validation。 细节: 我们有许多互相信任的AD域,并通过VPN隧道连接。 我们在连接到主ADnetworking的DMZ中只有一个DC 外部LAMP Web服务器 – 我们正在使用一个实例来testing新的configuration 完成的任务: 将DMZ DC添加到主机文件 更新了krb5.conf文件,并使用DMZ DC关联了一个领域和域(domain1) 在命令行上用kinit(工作) 更新了krb5.conf文件,使其他领域和域领域映射与指向DMZ DC的所有域 在命令行上与来自其中一个附加领域的用户进行了身份validation,失败了。 当前configuration示例 / etc / hosts / :(为了保密,我用x和真实的域名replace了实际的IP) xxx.xxx.xxx.xxx dc01.domain1.com, dc01.domain2.com, dc01.domain3.com, dc01.domain4.com 的/etc/krb5.conf: [libdefaults] default_realm = REALM1.COM dns_lookup_realm = true dns_lookup_kdc = true ticket_lifetime = 24h renew_lifetime = 7d forwardable = […]
我们最近将虚拟化SQL数据库迁移到主动/主动群集中的裸机解决scheme。 除了SQL Reports,一切都很好。 好吧,我们的设置在这里是与SQL和Reports相关的: XXYYSQ01是我们的旧虚拟SQL服务器,现在运行Reporting Services。 XXYYSQ1是一个新的SQL服务器,运行在裸机上。 它不包含我们试图访问的数据库。 XXYYSQ2是另一个新的裸机SQL服务器。 它运行我们正在寻找访问的数据库。 SQLCLUSTERDB \ DATABASE是托pipe我们希望访问的数据库的集群实例的名称。 现在,当有人访问他们的桌面上的报告服务网站,并试图运行一个报告,他们得到可怕的login失败,用户'NT AUTHORITY \ ANONYMOUS LOGON'错误。 因此,我为Reporting Services的服务用户添加了所需的SPN: H:\>setspn -L DOMAIN\ssrs-user Registered ServicePrincipalNames for CN=ssrs-user,OU=Systems,DC=domain,DC=local: MSSQLSvc/SQLCLUSTERDB.domain.local:DATABASE MSSQLSvc/SQLCLUSTERDB:DATABASE http/xxyysq01 刷新和….仍然无法正常工作。 我的Googlesearch引导我将服务用户作为操作系统的一部分添加到Act中,并且在身份validation用户权限之后模拟客户端 。 依然没有。 我前往错误日志。 XXYYSQ01提供以下内容: An account was successfully logged on. Subject: Security ID: NULL SID Account Name: – Account Domain: – Logon ID: […]
我试图设置一个Ubuntu服务器与Samba 4作为Active Directory域控制器,当我尝试从Windows机器连接时出现错误。 这是Samba的错误日志(我已经replace了我的域名的隐私): [2014/07/04 15:09:48.437798, 3] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper) Kerberos: AS-REQ [email protected] from ipv4:10.8.0.14:36394 for krbtgt/[email protected] [2014/07/04 15:09:48.442161, 3] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper) Kerberos: Client sent patypes: 128 [2014/07/04 15:09:48.442329, 3] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper) Kerberos: Looking for PK-INIT(ietf) pa-data — [email protected] [2014/07/04 15:09:48.442438, 3] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper) Kerberos: Looking for PK-INIT(win2k) pa-data — [email protected] [2014/07/04 15:09:48.442539, 3] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper) Kerberos: Looking for ENC-TS pa-data […]
我正在尝试将我的RHEL 7 VM机器join到我们公司的AD中。 我可以使用kinitvalidation我的login凭证(如果input了正确的密码,则返回错误,如果input错误,则返回错误)。但是,当我尝试使用realmdjoin时,表示我没有足够的权限join。 使用net ads join –user=MyUser返回“无法为机器帐户设置帐户标志(NT_STATUS_ACCESS_DENIED)”。 我没有对AD的pipe理访问权限,但是,其中一位pipe理员将我的RHEL机器添加到AD。 我试过重新安装桑巴和KBR,但没有帮助。 我也玩过configuration,但我似乎无法得到它的工作。 任何帮助将非常感激。
我正在尝试保护安装在Windows中的Hadoop环境 。 所以基本上我开始分析如何保护一个基于Unix的hadoop集群。 已经经历了与Kerberos和其他Apache加载项( Knox / Rhino / Sentry )相关的各种链接。但是为了检查它们中的每一个, 与此同时,发现有关用户pipe理(LDAP)的Active Directory。 此外,AD似乎默认安装了Kerberos。 所以如果AD本身包含LDAP和Kerberos,就不能单独使用Active Directory来保护hadoop集群? 所有这些Google的build议链接都提供了一个框架来保护公司任何一个基于Unix的hadoop集群, 授权 – Active Directory(LDAP), 身份validation – Kerberos 再来一次,我的问题是我们不能单独使用Active Directory来确保hadoop集群?
假设以下网站布局 www.contoso.com – 作为CONTOSO \ sitePool运行 www.contoso.com/subSite1 – 作为CONTOSO \ subPool1运行 www.contoso.com/subSite2 – 作为CONTOSO \ subPool2运行 这些页面应该使用Kerberos进行身份validation – 所以我将SPN HTTP / www.contoso.com分配给了CONTOSO \ sitePool ,这对于www.contoso.com网站来说很好。 现在我想为Kerberos的subsite1和subsite2使用。 我无法将SPN分配给池,因为它已被分配。 我也不能以HTTP / www.contoso.com / subSiteX的forms分配一个SPN,因为浏览器不知道这一点(他们只用域名计算所需的SPN)。 那么如何在子站点中使用Kerberos身份validation呢?
我已经在centos上安装了freeipa,重新启动服务后,似乎已经失去了“kadmin” [root@pcm-ipa-01 ~]# kadmin init Authenticating as principal root/[email protected] T with password. kadmin: Client not found in Kerberos database while initializing kadmin interface 但是我可以直接与用户“pipe理员” [root@pcm-ipa-01 ~]# kadmin -p admin Authenticating as principal admin with password. Password for [email protected]: kadmin: list_principals get_principals: Operation requires “list'' privilege while retrieving list. kadmin: 更新: [root@ipaserver tmp]# ipa user-show admin […]
我成功安装了一个HDP 2.2集群(1个NM,3个DN和1个客户端)。 在客户端创build用于访问HDP集群的用户帐户,并检查这些用户是否可以通过SSH提交作业到客户端节点并运行样本作业。 在下一步中,我启用了Kerberos身份validation,并创build了与客户端用户对应的用户主体。 所有的事情都按预期顺利进行。 然后我以用户的身份login到客户端PC,生成Kerberos票据kinit,然后尝试运行样本作业,但是作业提交失败: user <user name> not found消息。 为了在Secure HDP集群中以用户身份运行作业,是否必须在集群中的所有节点上创build用户?
我在Windows Server 2012 R2上使用Application Request Routing 3.0来负载平衡Lync 2013前端池上的内部Web服务; 我没有使用它来反向代理外部Web服务(有一个单独的反向代理),我只使用它作为负载平衡器,因为这个客户没有任何其他的负载平衡解决scheme可用。 我configuration了DNS将所有Lync内部Web服务URL指向ARR服务器,我已经定义了服务器场,其中包括池中的两台Lync前端服务器,并且我configuration了ARR以路由所有HTTP和HTTPS请求到这个农场,不pipeurl或主机名称如何; ARR服务器上的IIS中的默认Web站点仅configuration为匿名身份validation。 请求路由正确,但是对于所有经过身份validation的Lync Web服务(很多),身份validation失败惨不忍睹。 我确定问题在于Kerberos身份validation,而Google的一个快速search发现很多人在通过带有Kerberos身份validation的ARR发布身份validation的网站/服务时遇到身份validation问题; 我已经尝试在Lync服务器上手动禁用IIS中的“协商”身份validation方法,只保留“NTLM”,并使用此设置一切工作正常; 这确实表明问题实际上是由Kerberos身份validation引起的。 但是,完全不支持Lync服务器上IISconfiguration的修补程序,并且在发生configuration更新或安装Lync更新时可能会重置任何手动更改,因此我不能仅以这种方式手动configurationIIS。 我正在寻找一种(支持!)方式,当请求通过ARR服务器路由时,对内部Lync Web服务进行身份validation。 可以这样做吗? 怎么样?
感觉像我在这里失去了一些基本的东西… 有一台非域名机器(离线个人机器)从我的VPN进入我们的工作networking。 一旦连接,从'klist',看起来我的VPN客户端(瞻博networking)已经谈妥了一个Kerberos票证(krbtgt / @)。 另请注意,本机的本地login用户名与我的Active Directory用户名不同。 然后,我希望使用启用了GSSAPI / Kerberos的PuTTY连接到Linux主机(Linux主机已正确设置为SSSD,并接受来自类似工作域成员的类似PuTTY实例的GSSAPIlogin)。 但是,我会在login时提示input密码,而不是简单地通过。 有没有一种方法可以在我在klist中看到的票证上明确指出PuTTY? 我是否需要尝试获得新票? 如果是这样,怎么样? 我需要不同types的门票(主机与krbtgt)吗? 我用ksetup / MapUser进行了试验,尝试将我的本地用户帐户映射到我在klist中看到的票据,但是我的语法出现故障,不知道是不是正确的树会被咆哮。 很明显,我在这里有其他的login替代scheme,但想知道发生了什么事情。 提前致谢!