Als «kerberos» getaggte Fragen

Kerberos ist ein Computernetzwerkauthentifizierungsprotokoll, mit dem Knoten, die über ein nicht sicheres Netzwerk kommunizieren, ihre Identität untereinander auf sichere Weise nachweisen können. Die Designer haben sich in erster Linie auf ein Client-Server-Modell konzentriert und bieten eine gegenseitige Authentifizierung. Sowohl der Benutzer als auch der Server überprüfen die Identität des anderen.

5
Finden Sie heraus, welcher Prozess / welches Programm einen Kerberos-Vorauthentifizierungsfehler verursacht (Code 0x18).
Wir haben ein Domain-Konto, das über 1 von 2 Servern gesperrt wird. Die eingebaute Prüfung sagt uns nur so viel (gesperrt von SERVER1, SERVER2). Das Konto wird innerhalb von 5 Minuten gesperrt, ungefähr 1 Anfrage pro Minute, wie es scheint. Ich habe zunächst versucht, procmon (von sysinternals) auszuführen, um festzustellen, …

5
Welcher Kerberos-Geschmack?
Also richte ich ein kleines Netzwerk mit allen Standardmaterialien (Dateien, E-Mails usw.) ein und habe mich für eine Kerberos + LDAP-Lösung entschieden. Irgendwelche Ideen oder Empfehlungen zu Heimdal vs. MIT? Ich habe MIT schon einmal und tangential Heimdal verwendet, aber ich kenne keinen wirklichen Grund, warum ich eins über das …

1
Wie man mod_auth_kerb anweist, seine Arbeit zu erledigen, obwohl kein "gültiger Benutzer erforderlich" ist
Ich habe eine SSO-Authentifizierung mit mod_auth_kerb auf Apache implementiert . Meine Konfiguration sieht folgendermaßen aus: <Location /login/ > AuthType Kerberos AuthName "Kerberos Login" KrbMethodNegotiate on KrbAuthoritative on KrbVerifyKDC on KrbAuthRealm D.ETHZ.CH Krb5Keytab /etc/HTTP.keytab KrbSaveCredentials on RequestHeader set KERBEROS_USER %{REMOTE_USER}s </Location> Mein Problem ist, dass require valid-usermod_auth_kerb ohne nicht einmal versucht, …

2
Berechtigungen zum Erstellen eines SPN
Gemäß einigen der Dokumentationen, die ich gelesen habe, erstellt das Dienstkonto für SQL Server beim Start des Datenbankmoduls einen SPN, der die Kerberos-Authentifizierung ermöglicht. Ich konnte keine Dokumentation finden, aus der hervorgeht, welche Berechtigung ein Konto zum Erstellen eines SPN benötigen würde. Welche Berechtigungen müsste ein Konto haben (außer Domain-Administrator, …

2
Ist dieses Kerberos / AD-Setup möglich?
Wir haben ein etwas kompliziertes IDAM-Setup: Das heißt, der Computer und der Browser des Endbenutzers befinden sich in einem Netzwerk mit dem übergeordneten AD, und unsere Jetty-basierte Anwendung und der AD, mit dem er kommunizieren kann (lokaler AD), befinden sich im anderen. Zwischen den beiden ADs besteht eine wechselseitige Vertrauensstellung. …

2
Der herabgestufte Domänencontroller authentifiziert weiterhin Benutzer
Warum authentifiziert ein herabgestufter Domänencontroller immer noch Benutzer? Wenn sich Benutzer mit Domänenkonten an Arbeitsstationen anmelden, werden sie von diesem herabgestuften Domänencontroller authentifiziert. Das Sicherheitsprotokoll zeigt die Anmeldungen, Abmeldungen und speziellen Anmeldungen an. In den Sicherheitsprotokollen unserer neuen Domänencontroller werden einige Computeranmeldungen und -abmeldungen angezeigt, die jedoch nichts mit Domänenbenutzern …

1
Kerberos-Authentifizierung, Service-Host und Zugriff auf KDC
Ich habe eine Webanwendung (Hostname: service.domain.com) und möchte die Kerberos-Authentifizierung verwenden, um Benutzer zu identifizieren, die bei einer Windows-Domäne angemeldet sind. Microsoft AD (Windows Server 2008 R2) stellt den Kerberos-Dienst bereit. Der Dienst ist eine Java-Webanwendung, die die Spring Security Kerberos-Erweiterungsbibliothek zum Implementieren des SPNEGO / Kerberos-Protokolls verwendet. Ich habe …

3
Wie automatisiere ich den Kinit-Prozess, um TGT für Kerberos zu erhalten?
Ich schreibe derzeit ein Puppet-Modul, um den Prozess des Verbindens von RHEL-Servern mit einer AD-Domäne mit Unterstützung für Kerberos zu automatisieren. Derzeit habe ich Probleme beim automatischen Abrufen und Zwischenspeichern von Kerberos-Tickets über kinit. Wenn dies manuell erfolgen würde, würde ich Folgendes tun: kinit aduser@REALM.COM Dies fordert zur Eingabe des …

2
Wie kann ich mich bei einem Domänencontroller anmelden, der sich selbst nicht vertraut?
Ich habe einen eigenständigen Windows 2008 R2-Domänencontroller, den ich aus der Sicherung wiederhergestellt habe. Der ursprüngliche DC ist offline. Wenn ich mich mit gültigen Benutzeranmeldeinformationen anmelde, wird folgende Fehlermeldung angezeigt: "Die Sicherheitsdatenbank auf dem Server verfügt nicht über ein Computerkonto für diese Workstation-Vertrauensstellung." Wie kann ich mich beim Domänencontroller anmelden …

3
Wie kann ich den Zugriff auf deaktivierte AD-Konten über Kerberos in pam_krb5 verweigern?
Ich habe ein funktionierendes AD / Linux / LDAP / KRB5-Verzeichnis und ein Authentifizierungssetup mit einem kleinen Problem. Wenn ein Konto deaktiviert ist, ermöglicht die SSH-Authentifizierung mit öffentlichem Schlüssel weiterhin die Benutzeranmeldung. Es ist klar, dass Kerberos-Clients ein deaktiviertes Konto identifizieren können, da kinit und kpasswd "Client-Anmeldeinformationen wurden widerrufen" ohne …

4
Mehrere Bereiche und mehrere TGTs unter MIT Kerberos für Windows
Mein lokaler Computer verwendet Windows 7 Pro und gehört zu Realm LR, das von AD-Servern verwaltet wird. Ich melde mich bei meinem Computer an, während ich mit dem Netzwerk dieses Bereichs verbunden bin. Ich kann das TGT mit MIT Kerberos für Windows ver anzeigen. 4.0.1. Ich möchte auf Ressourcen in …
10 kerberos 


3
Putty Kerberos / GSSAPI-Authentifizierung
Ich habe einige Linux-Server für die Authentifizierung bei Active Directory-Kerberos mithilfe von sssd unter RHEL6 konfiguriert. Ich habe auch die GSSAPI-Authentifizierung in der Hoffnung auf kennwortlose Anmeldungen aktiviert. Aber ich kann Putty (0.63) scheinbar nicht dazu bringen, sich ohne Passwort zu authentifizieren. GSSAPI funktioniert zwischen Linux-Systemen (openSSH-Client), die für die …

1
Wie generiere ich Windows AD Kerberos Keytab aus der Ferne von einem Unix-Computer?
Ich möchte wissen, ob es möglich ist, eine Keytab-Datei direkt von einem Client-Computer aus zu erstellen, ohne das ktpassDienstprogramm auf der Windows Server-Seite zu verwenden. Der Hauptgrund, warum ich dies möchte, besteht darin, die Integration der Kerberos-Authentifizierung von Windows Active Directory in Linux-Computer mithilfe einiger Shell-Skripts automatisch zu aktivieren. Vielen …

1
Kerberos: Trennung von AS und TGS
In Kerberos werden der Authentifizierungsserver (AS) und der Ticket Granting Server (TGS) im Allgemeinen auf demselben Server implementiert. Diese Maschine wird als Key Distribution Center (KDC) bezeichnet. Sicherlich ist es sinnvoll, diese Dienste auf derselben physischen Maschine zu implementieren, da es in kleinen und mittleren Netzwerken übertrieben wäre, diese beiden …
9 kerberos 

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.