我正在尝试为我所在的公司的Kubuntu 12.04 Linux工作站设置Kerberoslogin支持(Windows AD域提供kerberos)。 它几乎完全工作,但我不能让kerberos同时为机器login(通过kdm)和ssh工作。 这个问题似乎是kdm检测主机的完全限定的域作为hostname.domain。 和ssh检测到完全合格的域名是hostname.domain(注意缺less尾随)。 缺乏或缺乏。 在kerberos请求中使用的域的末尾足以使票证请求失败,并在“kerberos数据库中找不到服务器”错误。 如果我更新/ etc / hosts以将完全限定的主机名称作为hostname.domain。 并join域使用samba kdmlogin使用Kerberos正常工作,但sshlogin失败。 如果我更新/ etc / hosts使主机名为hostname.domain,那么使用kerberos sshlogin工作,但kdmlogin失败。 对于为什么这两个服务检测到完全限定的域名有所不同,我有点不知所措 – 我已经做了大量的search,没有发现任何其他人有这个问题或任何选项来强制其中一个服务以不同的方式检测他们的域名。 技术细节 被使用的Kubuntu 12.04是我的控制之外的技术要求,所以在这个阶段升级到以后的发行版是不可行的。 正在使用pam_krb5来提供通过pam的Kerberos身份validation使用的DNS不是Windows的DNS(不能切换DNS服务器,直到进一步的工作在其他基础设施完成),所以用于桑巴kerberosiedjoin到域的主要细节从/ etc / hosts看起来像 127.0.0.1 hostname.domain. hostname localhost (正在使用的unix dns服务器虽然确实有主机的正确的反向dns条目) /etc/krb5.conf(这主要是发行版的默认值,input域详细信息和服务器) [libdefaults] default_realm = DOMAIN krb4_config = /etc/krb.conf krb4_realms = /etc/krb.realms kdc_timesync = 1 ccache_type = 4 forwardable = […]
我有一个关于kerberos / httpd / RHEL的问题 系统1 这是有问题的系统。 OS: RHEL 6.6 Kernel: 2.6.32-431.29.2.el6.x86_64 CPU: Intel Xeon X5570 在服务器上运行一个kerberized网站。 系统2 这个系统使用相同的Kerberosconfiguration。 OS: RHEL 6.5 Kernel: 2.6.32-431.23.3.el6.x86_64 CPU: Intel Xeon E5-2697 还运行一个kerberized网站。 问题 当用户访问网站时,以下消息显示在apache错误日志(LogLevel debug)中,用户将收到“Internal Server Error”(内部服务器错误)页面: [Tue Aug 07 11:22:03 2015] [debug] src/mod_auth_kerb.c(1944): [client 10.70.30.50] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos [Tue Aug 07 11:22:03 […]
我正在尝试做什么 我有一个freeIPA域名,有几个客户端和一个Synology NAS(也注册了freeIPA)。 我在NAS上创build了一个共享文件夹,支持NFSv4 + krb5。 从客户端,我获得LDAP用户[email protected]的票证,我装载此文件夹。 最初,在这个文件夹中创build的文件将由nobody用户拥有。 我终于把它工作了,把NAS上的/etc/idmapd.conf 有正确的域设置 在[email protected]和本地用户之间有一个静态映射 题 一般来说,我确实了解idmapd NFS的作用。 然而在这种情况下: 为什么我需要显式映射? 难道它不能自行解决吗? 为什么我需要一个映射? NAS也在同一个freeIPA域中,是一个LDAP客户端,拥有合适的kerberos主体。它完全知道[email protected]是谁,为什么不能使用该uid作为该文件夹的文件所有权,而不是本地用户的uid? 我可以避免创build本地用户吗? 我目前的idmapd.conf如下所示: [General] Domain=hq.example.com [Mapping] Nobody-User=guest Nobody-Group=users [Translation] Method=nsswitch GSS-Methods=static,synomap [Static] [email protected]=user1 我想实现的是,我不需要这个静态映射[email protected]=user1 ,如果可能的话,我甚至不需要在NAS上创build一个本地用户user1 。
我正在按照本指南设置Kerberos服务器。 Kerberos服务器的系统configuration如下,有人可以帮我解决问题,任何帮助将不胜感激。 这是我看到的问题: root@openldap ~# kadmin -p admin Authenticating as principal admin with password. kadmin: Cannot resolve network address for admin server in requested realm while initializing kadmin interface …和相关的系统信息/configuration: root@openldap ~# uname -a Linux openldap 3.2.0-4-amd64 #1 SMP Debian 3.2.68-1+deb7u3 x86_64 GNU/Linux root@openldap ~# cat /etc/hosts 127.0.0.1 localhost 10.5.126.24:464 krb.ixsystems.com #Required for IPv6 capable […]
为了在LDAP上存储krb5主体条目,是否需要匹配领域名称的LDAP命名上下文(root basename)? 领域的校长 HQ.EXAMPLE.ORG 可以存储在 DC =例如,DC =组织 命名目录树的上下文?
我有一个支持Kerberos身份validation的Tomcat webapp。 它工作正常,我可以login到该应用程序,如果我使用像LOCAL SYSTEM或networking服务的内置帐户,但我有问题为Tomcat服务设置一个非默认域帐户。 我已经注册了必要的SPN: C:\Users\Administrator>setspn -l tomcatuser1 Registered ServicePrincipalNames for CN=tomcatuser1,CN=Users,DC=blah,DC=com: HTTP/Unicorn.blah.com HTTP/Unicorn 之后,我可以从域中的其他机器login,但不能从运行Tomcat服务的机器login。 如果我使用IP地址,我没有任何问题。 我也检查,我没有遇到回环问题,但似乎并没有影响任何东西。 因此,当我要求使用主机名称的网页时,我得到401响应。 从日志中我发现协商是在多个步骤中进行的,最后一步是服务器说我提供的授权令牌是无效的。 实际的错误信息是“指定的句柄无效”对应的SEC_E_INVALID_HANDLE窗口错误。 它可能与Kerberos安装有关,还是networking问题?
我正在考虑将我的Intranet应用程序切换到Kerberos身份validation(目前NTLM,但所需的模块不再维护,一旦Web服务器更新到最新版本(Ubuntu),将不再工作)。 我完全陌生,而且我不直接在我的公司IT部门。 这是一个庞大的公司,处理IT是PITA。 所以我的问题也围绕这个事实,如果我需要IT做一些事情让我做这个工作。 我可以使用klist在我公司的笔记本电脑上看到我有3张票: krbtgt/[email protected] ldap/[email protected] 最后一个是我的笔记本电脑(例如服务器=我的笔记本电脑) 我已经有一个通用的LDAP用户查询LDAP授权。 我的问题是,如果我可以configuration我的Web服务器重用现有的LDAPauthentication? 如果是的话,我会怎么做?
我正在PHP中构build一个需要集成SSO的SAAS Web应用程序。 我们将拥有多个客户机构,每个机构都有自己的标识提供程序(Active Directory)。 在研究可能性的同时,我遇到了SimpleSAMLphp,但是我不确定它是否能够满足我的要求,并希望得到关于实现的最佳方法的反馈。 似乎像SAML或Kerberos是要走的路,但我在这方面的经验有限。 需要这些能力: 客户端pipe理员应该能够通过AD添加和删除我们的应用程序的访问。 使用各自的AD服务器对用户进行身份validation(与其他人进行身份validation的灵活性) – 除了依赖于静态IP,我怎么知道要检查哪个身份提供者? 没有身份提供者的组织的用户应该能够通过现有的身份validation方法(mysql中的散列传递)进行login。 其他信息:我打算在CentOS服务器上托pipePHP应用程序。 我们有能力连接站点到站点VPN,如果需要的话…在stackoverflow上添加这个问题,没有响应那里,希望有些服务器pipe理员在这里可能有一些洞察力。 更新:此外,我们将有一个IONIC混合应用程序(IOS /安卓),将需要有SSO – 在这一点上,我不知道如何将配合。移动应用程序将通过REST API进行通信,开发PHP。
我目前正在构build一个我想部署Kerberos的系统。 但是,我对用户pipe理的外部约束不允许我对Kerberos本身的用户进行身份validation。 我不得不authentication用户对第三方LDAP服务器,我不能从中读取密码。 但是,我确实得到了authentication是否成功的答案。 我现在想自动授予这些用户Kerberos票证为他们的委托人,如果这个authentication是成功的。 有什么办法可以设置Kerberos通过SASL对第三方进行身份validation传递给它的密码? 我可能看到的一个解决scheme是在用户主目录中创buildkeytab文件,这些文件被init脚本自动使用来获得Kerberos票据。 不过,我认为这些keytab文件可能会被滥用,并且会更喜欢使用基于密码的替代方法。
我一直在VirtualBox中运行一些虚拟机,无法安装Kerberos5。 我不断收到错误: 正在读取软件包列表…完成编译依赖关系树 读取状态信息…完成某些软件包无法安装。 这可能意味着您已经请求了一个不可能的情况,或者如果您使用的是不稳定的分发版本,那么一些所需的软件包尚未创build或已从Incoming中移出。 以下信息可能有助于解决这种情况: 以下软件包有未满足的依赖关系:krb5-kdc:取决于:krb5-config,但它不是可安装的取决于:krb5-用户,但它不会被安装E:无法更正问题,你已经拿着破包。 我有这个问题在Debian 8.2和8.3的新鲜安装,任何想法? 编辑 资料来源: deb cdrom:[Debian GNU / Linux 8.3.0 Jessie – Official amd64 DVD Binary-1 20160123-19:03] / jessie contrib main deb cdrom:[Debian GNU / Linux 8.3.0 Jessie – Official amd64 DVD Binary-1 20160123- 19:03] / jessie contrib main deb http://security.debian.org/ jessie / updates main contrib deb-src http://security.debian.org/ […]