Pytania otagowane jako kerberos

Kerberos to protokół uwierzytelniania w sieci komputerowej, który umożliwia węzłom komunikującym się w niezabezpieczonej sieci w celu potwierdzenia swojej tożsamości w bezpieczny sposób. Jego projektanci dążyli przede wszystkim do modelu klient-serwer i zapewnia wzajemne uwierzytelnianie - zarówno użytkownik, jak i serwer weryfikują swoją tożsamość.

5
Wyśledzić, który proces / program powoduje błąd przed uwierzytelnieniem Kerberos (kod 0x18)
Mamy konto domeny, które jest blokowane przez 1 z 2 serwerów. Wbudowana kontrola tylko tyle nam mówi (zablokowane z SERVER1, SERVER2). Konto zostaje zablokowane w ciągu 5 minut, wydaje się, że około 1 żądanie na minutę. Początkowo próbowałem uruchomić procmon (z sysinternals), aby sprawdzić, czy po odblokowaniu konta pojawił się …

5
Który smak Kerberos?
Konfiguruję więc małą sieć ze wszystkimi standardowymi plikami (pliki, e-mail itp.) I zdecydowałem się na rozwiązanie Kerberos + LDAP. Jakieś pomysły lub rekomendacje dotyczące Heimdal vs. MIT? Używałem MIT wcześniej i stycznie Heimdal, ale tak naprawdę nie znam żadnego prawdziwego powodu, aby używać jednego nad drugim. Po prostu wiem, że …

1
Jak powiedzieć mod_auth_kerb, aby wykonał swoją pracę pomimo braku „wymaganego ważnego użytkownika”
Zaimplementowałem uwierzytelnianie SSO za pomocą mod_auth_kerb na Apache. Moja konfiguracja wygląda następująco: <Location /login/ > AuthType Kerberos AuthName "Kerberos Login" KrbMethodNegotiate on KrbAuthoritative on KrbVerifyKDC on KrbAuthRealm D.ETHZ.CH Krb5Keytab /etc/HTTP.keytab KrbSaveCredentials on RequestHeader set KERBEROS_USER %{REMOTE_USER}s </Location> Mój problem polega na tym, że bez require valid-usermod_auth_kerb nawet nie próbuje uwierzytelnić …

2
Uprawnienia do tworzenia SPN
Zgodnie z niektórymi dokumentacjami, które przeczytałem, konto usługi dla serwera SQL utworzy nazwę SPN podczas uruchamiania silnika bazy danych, umożliwiając uwierzytelnianie Kerberos. Nie udało mi się znaleźć żadnej dokumentacji określającej, jakie pozwolenie będzie potrzebne konto, aby utworzyć SPN. Jakie więc uprawnienia musiałoby mieć konto (jeśli to możliwe, z wyjątkiem administratora …

2
Czy taka konfiguracja Kerberos / AD jest możliwa?
Mamy nieco skomplikowaną konfigurację IDAM: Oznacza to, że komputer i przeglądarka użytkownika końcowego siedzą w jednej sieci z nadrzędnym AD, a nasza aplikacja oparta na Jetty i AD, z którymi może rozmawiać (lokalna AD), siedzą w drugiej. Między tymi dwiema reklamami istnieje dwukierunkowe zaufanie. Przeglądarka w sieci nadrzędnej ma domenę …

2
Obniżony kontroler domeny nadal uwierzytelnia użytkowników
Dlaczego zdegradowany kontroler domeny nadal uwierzytelnia użytkowników? Za każdym razem, gdy użytkownicy logują się na stacjach roboczych przy użyciu kont domeny, ten zdegradowany kontroler domeny uwierzytelnia je. Dziennik bezpieczeństwa pokazuje ich loginy, wylogowania i logowania specjalne. Dzienniki bezpieczeństwa naszych nowych kontrolerów domeny pokazują niektóre logowania do komputera i wylogowania, ale …

1
Uwierzytelnianie Kerberos, host usługi i dostęp do KDC
Mam aplikację internetową (nazwa hosta: service.domain.com) i chcę używać uwierzytelniania Kerberos do identyfikowania użytkowników zalogowanych do domeny Windows. Microsoft AD (Windows Server 2008 R2) zapewnia usługę Kerberos. Usługa jest aplikacją internetową Java wykorzystującą bibliotekę rozszerzeń Spring Security Kerberos do implementacji protokołu SPNEGO / Kerberos. Utworzyłem plik tabeli kluczy w AD, …

3
Jak zautomatyzować proces Kinit, aby uzyskać TGT dla Kerberos?
Obecnie piszę moduł lalek, aby zautomatyzować proces dołączania serwerów RHEL do domeny AD, z obsługą Kerberos. Obecnie mam problemy z automatycznym uzyskiwaniem i buforowaniem biletu przydziału biletów Kerberos za pośrednictwem kinit. Gdyby to zrobić ręcznie, zrobiłbym to: kinit aduser@REALM.COM Powoduje to podanie hasła użytkownika AD, dlatego istnieje problem z automatyzacją …

2
Jak mogę zalogować się do kontrolera domeny, który nie ufa sobie?
Mam autonomicznego kontrolera domeny z systemem Windows 2008 R2, który przywróciłem z kopii zapasowej. Oryginalny DC jest offline. Gdy loguję się przy użyciu prawidłowych poświadczeń użytkownika, pojawia się błąd: „Baza danych bezpieczeństwa na serwerze nie ma konta komputerowego dla tej relacji zaufania stacji roboczej” Jak mogę zalogować się do kontrolera …

3
Jak odmówić dostępu do wyłączonych kont AD przez Kerberos w pam_krb5?
Mam działający katalog AD / Linux / LDAP / KRB5 i konfigurację uwierzytelniania, z jednym małym problemem. Gdy konto jest wyłączone, uwierzytelnianie publiczne SSH nadal umożliwia logowanie użytkownika. Oczywiste jest, że klienci Kerberos mogą zidentyfikować wyłączone konto, ponieważ kinit i kpasswd zwracają „Poświadczenia klientów zostały odwołane” bez dalszego hasła / …

4
Wiele dziedzin i wiele TGT w MIT Kerberos dla Windows
Mój komputer lokalny korzysta z systemu Windows 7 Pro i należy do dziedziny LR zarządzanej przez serwery AD. Loguję się na komputerze, gdy jestem podłączony do sieci tego królestwa. Mogę wyświetlić TGT za pomocą MIT Kerberos dla Windows wer. 4.0.1 Chcę uzyskać dostęp do zasobów w obcym królestwie, FR. Nie …
10 kerberos 

3
Uwierzytelnianie Putty Kerberos / GSSAPI
Skonfigurowałem kilka serwerów Linux do uwierzytelniania przy użyciu Active Directory Kerberos przy użyciu sssd na RHEL6. Włączyłem także uwierzytelnianie GSSAPI w nadziei na logowanie bez hasła. Ale nie mogę uzyskać uwierzytelnienia Putty (0.63) bez hasła. GSSAPI działa między systemami Linux (klient openSSH) skonfigurowanymi do uwierzytelniania AD, używając ustawień .ssh / …

1
Jak zdalnie wygenerować tablicę kluczy Windows AD Kerberos z komputera z systemem Unix?
Chciałbym wiedzieć, czy możliwe jest utworzenie pliku tabeli kluczy bezpośrednio z komputera klienckiego bez użycia ktpassnarzędzia po stronie systemu Windows Server. Głównym powodem, dla którego chciałbym tego zrobić, jest automatyczne włączenie integracji uwierzytelniania Kerberos z Windows Active Directory na komputerach z systemem Linux za pomocą niektórych skryptów powłoki. Dzięki


1
Kerberos: Rozdzielanie AS i TGS
W Kerberos, serwer uwierzytelniania (AS) i serwer przyznawania biletów (TGS) są zazwyczaj zaimplementowane na tym samym serwerze. To urządzenie nazywa się Centrum dystrybucji kluczy (KDC). Z pewnością sensowne jest wdrożenie tych usług na tej samej maszynie fizycznej, ponieważ w małych i średnich sieciach rozdzielenie tych dwóch usług byłoby nadmierną przesadą. …
9 kerberos 

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.