Questions tagged «kerberos»

这是我从未真正能够回答的问题，也没有我喜欢的问题： 在IIS中使用Kerberos身份验证而不是NTLM的真正优势是什么？ 我已经看到很多人真的很难安装它（包括我自己），而且我还没有提出使用它的充分理由。但是，必须有一些相当显着的优势，否则设置它并不值得所有麻烦，对吗？

40 iis  kerberos  windows  ntlm 

我已经与服务原理名称进行了数次交涉，而Microsoft的解释还不够。我正在配置一个IIS应用程序以在我们的域上工作，并且看起来有些问题与我需要在运行托管我的站点的应用程序池的Windows服务帐户上配置http特定SPN​​有关。 所有这些使我意识到，我只是没有完全了解服务类型（MSSQL，http，主机，termsrv，wsman等），Kerberos身份验证，活动目录计算机帐户（PCName $），Windows服务帐户，SPN之间的关系。 ，以及我用来尝试访问服务的用户帐户。 有人可以在不过度简化说明的情况下解释Windows服务主体名称（SPN）吗？ 创造性的类比奖励积分，将引起经验丰富的系统管理员/开发人员共鸣。

28 windows  windows-server-2008  security  active-directory  kerberos 

编辑：将其重新格式化为问答。如果有人可以将其从Community Wiki更改为一个典型的问题，那也许也更合适。 如何针对Active Directory验证OpenBSD？

24 active-directory  authentication  kerberos  openbsd 

此问题已从超级用户迁移，因为可以在服务器故障时回答。 迁移 8年前。 假设我有四台计算机，笔记本电脑，Server1，Server2，Kerberos服务器： 我使用PuTTY或SSH从L登录到S1，输入用户名/密码 然后从S1 SSH到S2。Kerberos验证我身份时不需要密码 描述所有重要的SSH和KRB5协议交换：“ L向S1发送用户名”，“ K向S1发送用户名”等。 （此问题旨在进行社区编辑；请非专业读者加以改进。）

22 linux  ssh  authentication  kerberos 

显然，/ dev / random基于硬件中断或物理硬件的类似不可预测的方面。由于虚拟机没有物理硬件，因此cat /dev/random在虚拟机中运行不会产生任何结果。我将Ubuntu Server 11.04与libvirt / KVM用作主机和来宾。 我需要在VM内设置Kerberos，但krb5_newrealm由于系统未生成任何文件，因此它会永久挂起“加载随机数据”。 有谁知道如何解决这个问题？是否可以将主机的/ dev / random（非常随意）传递给vm，以便vm可以使用其随机数据？ 我读过一些软件替代品，但是它们对于密码学不是很好，因为它们不够随机。 编辑：看来，vm上的cat / dev / random确实会产生输出，只是非常非常缓慢。我等待大约两个小时，即“正在加载随机数据”，从而完成了领域设置。最终，它足够继续。我仍然对加快这一过程的方法感兴趣。

19 ubuntu  virtual-machines  kerberos  random-number-generator 

曾几何时，南美洲有一个美丽温暖的虚拟丛林，一个乌贼服务器就住在那里。这是网络的感知图像： <the Internet> | | A | B Users <---------> [squid-Server] <---> [LDAP-Server] 当Users请求访问Internet时，squid询问他们的姓名和护照，并通过LDAPldap 对其进行身份验证，如果ldap批准了它们，则他授予了它们。 每个人都很高兴，直到一些嗅探者在用户和鱿鱼之间的路径中偷走了护照[路径A]。发生这场灾难是因为鱿鱼使用了Basic-Authentication方法。 丛林人民聚集起来解决问题。一些兔子提供使用NTLM方法。蛇者优先Digest-Authentication，同时Kerberos建议由树木。 毕竟，丛林人提供的许多解决方案令所有人感到困惑！狮子决定结束这种情况。他大喊解决方案的规则： 解决方案是否安全！ 解决方案应适用于大多数浏览器和软件（例如下载软件）吗 解决方案应该简单并且不需要其他大型子系统（例如Samba服务器） 该方法不应依赖于特殊领域。（例如Active Directory） 然后，猴子提供了一个非常合理，全面而明智的解决方案，使他成为了丛林中的新国王！ 你能猜出解决方案是什么？ 提示：squid和 之间的路径LDAP受到狮子的保护，因此解决方案不必保护它。 注意：如果故事很无聊且混乱，很抱歉，但是大多数故事都是真实的！=） /~\/~\/~\ /\~/~\/~\/~\/~\ ((/~\/~\/~\/~\/~\)) (/~\/~\/~\/~\/~\/~\/~\) (//// ~ ~ \\\\) (\\\\( (0) (0) )////) (\\\\( __\-/__ )////) (\\\( /-\ )///) (\\\( (""""") )///) (\\\( …

17 security  authentication  ldap  squid  kerberos 

我无数次遇到了表达SASL / GSSAPI。我已经搜索过Google多次，但是我根本不了解它是什么以及它与Kerberos的关系。 有人对此有简单的解释吗？

17 linux  kerberos  sasl 

Linux（RHEL）盒很少（〜30），我正在寻找集中化且易于管理的解决方案，主要用于控制用户帐户。我熟悉LDAP，并且从Red Hat（== FreeIPA）部署了IPA ver2的试验。 我了解理论上IPA提供了类似于“ MS Windows域”的解决方案，但是乍一看，它并不是那么容易和成熟的产品[尚未]。除了SSO，是否有仅在IPA域中可用而在使用LDAP时不可用的安全功能？ 我对IPA域的DNS和NTP部分不感兴趣。

16 linux  ldap  kerberos  freeipa 

这是我最近设置的，非常痛苦。我的环境越来越乌贼，无法通过Windows 2008 Server对Windows 7客户端进行身份验证。NTLM并不是真正的选择，因为使用它需要在每个客户端上更改注册表。 自Windows 2000以来，MS一直建议使用Kerberos，因此终于可以使用该程序了。 非常感谢Squid邮件列表中的Markus Moeller帮助完成了这项工作。

15 windows-server-2008  active-directory  windows-7  squid  kerberos 

有没有可以使用的命令行程序？

15 active-directory  kerberos  ntlm 

我有一个规模虽小但正在增长的Linux服务器网络。理想情况下，我想在一个中央位置控制用户访问，更改密码等。我已经阅读了很多有关LDAP服务器的信息，但是我仍然对选择最佳的身份验证方法感到困惑。TLS / SSL是否足够好？Kerberos有什么好处？什么是GSSAPI？等等...我还没有找到明确的指南来说明这些不同方法的优缺点。谢谢你的帮助。

14 linux  authentication  ldap  kerberos  authorization 

我正在建立一个测试平台环境，其中Linux（Ubuntu 10.04）客户端将向Windows Server 2008 R2域服务器进行身份验证。 我正在遵循官方的Ubuntu指南在此处设置Kerberos客户端：https : //help.ubuntu.com/community/Samba/Kerberos，但是在运行kinit用于连接到域服务器的命令时遇到了问题。 我正在运行的命令是：kinit Administrator@DS.DOMAIN.COM。此命令返回以下错误： Realm not local to KDC while getting initial credentials。不幸的是，我无法通过Google搜索找到其他遇到此确切错误的人，因此我不知道这意味着什么。 客户端能够ping服务器的主机名，因此DNS服务器指向域服务器。 以下是我的krb5.conf文件： [libdefaults] default = DS.DOMAIN.COM dns_lookup_realm = true dns_lookup_kdc true [realms] DS.DOMAIN.COM = { kdc = ds.domain.com:88 admin_server = ds.domain.com default_domain = domain.com } [domain_realm] .domain.com = DS.DOMAIN.COM domain.com = …

13 linux  active-directory  kerberos  kinit 

Windows Server 2008 R2。 已安装SQL Server 2008 R2。 MSSQL服务作为本地系统运行。 服务器FQDN是SQL01.domain.com。 SQL01已加入到名为domain.com的Active Directory域中。 以下是setspn的输出： C:\> setspn -L sql01 ... MSSQLSvc/SQL01.domain.com:1433 MSSQLSvc/SQL01.domain.com WSMAN/SQL01.domain.com WSMAN/SQL01 TERMSRV/SQL01.domain.com TERMSRV/SQL01 RestrictedKrbHost/SQL01 RestrictedKrbHost/SQL01.domain.com HOST/SQL01.domain.com HOST/SQL01 然后，我启动SQL Server Management Studio并由此连接到SQL01： 然后，我运行以下查询： SELECT auth_scheme FROM sys.dm_exec_connections WHERE session_id = @@spid 结果是NTLM。为什么结果不是Kerberos？SPN似乎对于使用本地系统帐户是正确的。该服务器不在群集中或使用CNAME。

12 sql-server  kerberos  sql-server-2008-r2  spn 

为在Apache2 / Linux上运行的PHP Web应用程序启用集成Windows身份验证的最佳方法是什么？网络中有一个Windows域控制器，应用于身份验证。 我找到了这些apache模块： mod_auth_kerb mod_auth_ntlm_winbind 但是这些模块似乎已经过时了（最近更新的2007/2008）。是否有更好的，更新的方法来执行此操作？

12 linux  apache-2.2  kerberos  integrated-authentication 

我一直在考虑mod_auth_kerb在内部Web服务器上进行部署以启用SSO。我可以看到的一个明显问题是，这是一种全有或全无的方法，您的所有域用户都可以访问一个站点或不能访问该站点。 是否可以mod_auth_kerb与诸如mod_authnz_ldap在LDAP中检查特定组中的组成员身份之类的组合使用？我猜该KrbAuthoritative选项与此有关吗？ 另外，据我了解，该模块将用户名设置为username@REALM经过身份验证之后，但是当然，在目录中，用户仅作为用户名存储。此外，我们运行的某些内部站点（例如trac）已经具有链接到每个用户名的用户个人资料。是否有办法解决此问题，也许是通过某种方式在认证后剥离领域位？

12 apache-2.2  ldap  kerberos  single-sign-on