Questions tagged «kerberos»

Kerberos是一种计算机网络身份验证协议,它允许通过非安全网络进行通信的节点以安全方式相互证明其身份。它的设计者主要针对客户端-服务器模型,并且提供了相互身份验证-用户和服务器都可以验证彼此的身份。

2
Windows上的kerberized ssh客户端有什么选择吗?
是否有任何良好(可靠/免费)的ssh客户端可轻松在Windows环境中与经过Active Directory身份验证的帐户配合使用?理想情况下,不需要Windows的Kerberos程序包吗? 我知道有多种修改后的腻子版本支持GSSAPI身份验证,如果您已通过Kerberos在本地系统上进行了身份验证,则反过来又允许通过Kerberos对远程系统进行身份验证(即您已使用Active Directory帐户登录到Windows系统,您通过SSH访问的远程服务器上存在相同的AD帐户) 是否还有其他使用本地Windows AD生成的Kerberos凭据支持kerberos / GSSAPI身份验证的ssh客户端? 我找到了该页面,其中包含GSSAPI支持的Windows客户端列表,但我从未使用过它们。 该页面似乎还暗示secureCRT也支持kerberos,但是我再也没有在kerberized环境中使用它。 有良好的ssh客户经验吗?好又免费? 我对腻子的各种修改版本的经验是,它在访问使用Kerberized的服务器时效果很好,但是如果您告诉它尝试GSSAPI然后访问未使用Kerberized的服务器,则在尝试进行密码身份验证之前它将挂起近一分钟。它还依赖于Windows Identity Manager的MIT Kerberos,对我而言这并不是一个大问题,但是当我尝试向其他人解释它的工作原理时,当我描述所有运动部件时,他们的眼睛开始发呆... 谢谢!
9 ssh  kerberos  putty 
2
Kerberos ktutil,有哪些可用的加密方式?
我正在尝试使用制作密钥表ktutil。我可以选择加密类型,但是ktutil手册页没有列出可能的选择。我也不知道哪种加密方法是最好的!如何找到这两个?我想要最强大的加密。 $ ktutil > add_entry -password -p me@DOMAIN.COM -k 1 -e [what goes here?!]
9 linux  kerberos 
2
今晚的安全更新后,SQL Server Windows身份验证失败:登录来自不受信任的域
我们有以下设置: 一个域控制器(DC,Server 2003 R2 Standard x64) 一台SQL Server(SQL,Server 2008 R2 Standard x64) 一些客户。 所有计算机都在同一域中。所有正在使用的用户帐户都是域帐户。SQL会为每个SQL Server 2005、2008、2008R2、2012和2014运行一个实例。 自从今晚(重新启动DC以安装自动Windows安全更新)以来,通过Windows身份验证访问SQL 2005、2008和2008R2实例不再正常工作: 当访问这些实例之一时 来自一位客户 使用Windows身份验证 发生以下错误(这是2008R2消息,2005/2008消息类似): 登录失败。该登录名来自不受信任的域,不能与Windows身份验证一起使用。(Microsoft SQL Server,错误:18452) 显然,消息文本不适用,因为只有一个域。 现在令人惊讶的是:用户登录SQL(启动RDP sesson甚至只是运行runas /user:MYDOMAIN\someuser cmd并保持窗口打开)后,该用户就可以从所有客户端访问所有SQL Server实例,而不会出现任何问题,直到使用该用户的凭据已关闭。 这意味着我可以通过对SQL上的所有用户执行一次以上的runas命令(并使窗口保持打开状态)来解决此问题,但是显然,某些东西已经严重损坏。我怀疑今晚DC上的安全更新与它有关(因为这是唯一更改的事情),但我宁愿避免卸载并重新启动其中的每个更新(已安装12个更新,并且DC确实旧且缓慢)。 有没有人曾经遇到过这个问题,并且知道如何永久修复它?还有其他想法(除了接下来几天要成为Kerberos专家以外)?
1
为什么Active Directory用户帐户不自动支持Kerberos AES身份验证?
我正在使用Windows Server 2012 R2上的测试域。我正在尽可能高的功能级别上进行操作,并且在小型测试环境中没有向后兼容性问题。但是,我已经意识到,尽管事实上我支持 Kerberos AES身份验证,但是默认情况下,任何用户都不会启用它。我实际上必须进入用户的属性并选中“此帐户支持Kerberos AES 128位加密”和/或“此帐户支持Kerberos AES 256位加密”以启用它。 (我在将测试帐户添加到“受保护的用户”组时首先意识到了这一点,该帐户将策略设置为需要AES。此后,我的所有网络登录都开始失败,直到选中了这些框。) 我认为默认情况下可以禁用此选项以确保某些系统的向后兼容性,但是我找不到为所有用户启用此功能的方法,甚至找不到当前行为的解释。 有任何想法吗?
1
针对公共URL测试NTLM / Kerberos
我正在创建一个Java开源程序包,该程序包使与HttpClient 3.1轻松连接到受NTLm v1 / v2和Kerberos保护的资源。 我需要针对实际服务器测试该工具。是否有我可以获取要测试的用户和密码的,受NTLM或Kerberos保护的任何公共可用端点? 基本上,我正在寻找类似NTLM / Kerberos的Browserspy。使用自签名证书的公共站点也将有助于测试。
2
SSH Kerberos身份验证失败,并在debian squeeze上显示“请求中的主体错误/没有客户端凭据”
我有一个debian squeeze主机,在没有密码提示的情况下无法使用kerberos登录。配置相同的ubuntu 12.04主机可以正常工作,并且可以登录而不会出现密码提示。 经过kinit之后,klist给出: Ticket cache: FILE:/tmp/krb5cc_1000 Default principal: boti@REALM Valid starting Expires Service principal 14/02/2013 16:37 15/02/2013 16:37 krbtgt/REALM@REALM 现在,当我尝试通过ssh登录到debian-squeeze时,会看到密码提示。如果我在此时未进行身份验证就检查票证,则会得到: Ticket cache: FILE:/tmp/krb5cc_1000 Default principal: boti@REALM Valid starting Expires Service principal 14/02/2013 16:37 15/02/2013 16:37 krbtgt/REALM@REALM 14/02/2013 16:38 15/02/2013 16:37 host/debian-squeeze@ 14/02/2013 16:38 15/02/2013 16:37 host/debian-squeeze@REALM 所以很明显我获得了门票。ssh调试日志给出了: Postponed gssapi-with-mic …
4
不在域上的工作站的Kerberos身份验证
我对Kerberos在Active Directory环境中的工作方式及其用于在网络上对用户和工作站进行身份验证的方法有基本的了解,但是我的问题是..因为Kerberos依赖于发布最终用户随后用来访问的安全令牌。网络资源,域中的系统(笔记本电脑)如何不能仅使用活动目录用户的用户名和密码来访问相同的网络资源? 我猜想,如果仅使用用户凭据,Kerberos就会生成一个安全令牌并将其颁发给系统,但是似乎应该有更多的安全性,以防止非域系统访问网络资源。 如果有人能启发我,我将不胜感激!
2
Kerberos授权的风险
我一直在花费大量时间尝试学习和理解IIS 7.5中的Windows身份验证,Kerberos,SPN和约束委派。我不明白的一件事是,为什么要为管理员,CEO等启用委派(即不禁用敏感帐户的委派)是“危险的”。有人可以简单地向我解释一下吗?请针对Intranet环境制定答案。 我的理由是,这不必担心,因为委派仅允许前端Web服务器在与其他服务器进行通信时代表Windows Authenticated人员代表。如果该人可以访问,他们也可以访问,我不明白为什么这应该引起关注。 请原谅我的无知。我主要是一名开发人员,但如今我的公司经营状况非常欠佳,我也不得不戴上服务器管理员的帽子……不幸的是,它仍然不太适合,大声笑。
1
由于“在Kerberos数据库中找不到服务器”错误,NFS(使用Kerberos)安装失败
运行时: sudo mount -t nfs4 -o sec=krb5 sol.domain.com:/ /mnt 我在客户端上收到此错误: mount.nfs4: access denied by server while mounting sol.domain.com:/ 在服务器syslog上,我阅读了 UNKNOWN_SERVER: authtime 0, nfs/mercury.domain.com@SOL.DOMAIN.COM for nfs/ip-#-#-#-#.ec2.internal@SOL.DOMAIN.COM, Server not found in Kerberos database UNKNOWN_SERVER: authtime 0, nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/EC2.INTERNAL@SOL.DOMAIN.COM, Server not found in Kerberos database UNKNOWN_SERVER: authtime 0, nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/INTERNAL@SOL.DOMAIN.COM, Server …
3
试图强行攻击Active Directory用户的病毒(按字母顺序)?
用户开始抱怨网络速度慢,所以我启动了Wireshark。做了一些检查,发现许多PC发送类似于以下内容的数据包(屏幕截图): 我模糊了用户名,计算机名和域名的文本(因为它与Internet域名匹配)。计算机向Active Directory服务器发送垃圾邮件,试图强行破解密码。它将以Administrator开头,并按字母顺序在用户列表中向下移动。物理上去PC时,在PC的任何地方都找不到人,而且这种行为散布在整个网络中,因此它似乎是某种病毒。扫描被发现使用Malwarebytes,Super Antispyware和BitDefender(这是客户端具有的防病毒软件)向服务器发送垃圾邮件的计算机不会产生任何结果。 这是一个拥有约2500台PC的企业网络,因此进行重建不是一个明智的选择。我的下一步是联系BitDefender,以了解他们可以提供什么帮助。 是否有人看到过这样的东西或有任何想法可能是什么?
4
在域用户帐户下运行Windows服务
如果我在某个域用户帐户下的某个主机上运行Windows服务,并且此帐户的密码在以后更改,那么在更新密码之前,该服务现在是否将无法启动? 如果不是,那么域用户帐户的凭据如何以一种允许他们在密码更改后幸免的方式持久保存在运行该服务的计算机上?
1
使用setspn.exe创建SPN-访问权限不足
在Windown Server 2008域控制器上,我试图将服务主体名称(SPN)添加到用户帐户“ Postmaster”,以便从Communigate电子邮件服务器启用Kerberos身份验证。我使用的命令行格式如下: setspn -a imap/email-domain.com windows-domain\postmaster 当我运行此命令时,得到的结果是: Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com imap/email-domain.com Failed to assign SPN on account 'CN=Postmaster,OU=Users,DC=windows-domain,DC=com', error 0x2098/8344 -> Insufficient access rights to perform the operation. 这是最奇怪的,因为我以Domain Admins组中的用户身份登录。我检查了该帐户的有效特权,但看不到未包含的任何特权。我还尝试了另一个管理员帐户,结果相同。 为了排除这种情况,我还将用户Postmaster添加到Domain Admins中,但结果没有变化。 我直接在域控制器实例上运行此命令。我能够毫不费力地查询SPN,但似乎无法编写它们。 我还尝试使用ktpass间接在所需用户上设置SPN,但收到警告: WARNING: Unable to set SPN mapping data. ...我认为这是相同的访问不足问题的征兆。 是什么导致此错误?
2
有没有一种方法可以使Kerberos凭据委派两次?为什么不?
我一生的书呆子,我已经解决了Windows域的这种限制 登录-控制台 集成身份验证到某物(通常是Web应用程序) 我的凭据无法移至其他服务器(例如数据库或文件系统)。他们必须信任机器2。 是否有更改此行为的配置?在许多情况下,三跳非常方便。 凭据不应该两次委托的具体原因是什么(客户端->服务器->服务器)?
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.