คำถามติดแท็ก kerberos

นี่คือสิ่งที่ฉันไม่เคยได้รับคำตอบเช่นเดียวกับที่ฉันชอบ: ข้อได้เปรียบที่แท้จริงของการใช้การพิสูจน์ตัวตน Kerberos ใน IIS แทนที่จะเป็น NTLM คืออะไร ฉันเคยเห็นผู้คนมากมายต้องดิ้นรนเพื่อตั้งค่า (รวมตัวเอง) และฉันไม่สามารถหาเหตุผลที่ดีในการใช้งานได้ จะต้องมีข้อได้เปรียบที่ค่อนข้างสวย แต่ไม่อย่างนั้นมันจะไม่คุ้มค่ากับปัญหาทั้งหมดในการตั้งค่าใช่ไหม

40 iis  kerberos  windows  ntlm 

ฉันได้ปล้ำกับชื่อหลักการบริการสองสามครั้งแล้วและคำอธิบายของ Microsoftนั้นไม่เพียงพอ ฉันกำลังกำหนดค่าแอปพลิเคชัน IIS ให้ทำงานบนโดเมนของเราและดูเหมือนว่าปัญหาบางอย่างของฉันเกี่ยวข้องกับความต้องการของฉันในการกำหนดค่าSPN เฉพาะ http ในบัญชีบริการ windowsที่กำลังเรียกใช้พูลโปรแกรมประยุกต์ที่โฮสต์ไซต์ของฉัน ทั้งหมดนี้ทำให้ฉันรู้ว่าฉันไม่ได้รับความสัมพันธ์ระหว่างประเภทบริการ (MSSQL, http, โฮสต์, termsrv, wsman, ฯลฯ ) อย่างเต็มที่, การพิสูจน์ตัวตน Kerberos, บัญชีคอมพิวเตอร์ไดเรกทอรีที่ใช้งานอยู่ (PCName $), บัญชีบริการ windows, SPNs และบัญชีผู้ใช้ที่ฉันใช้เพื่อลองและเข้าถึงบริการ ใครช่วยอธิบายชื่อ Service Service ของ Windows (SPNs) ได้โดยไม่ต้องอธิบายให้ละเอียด คะแนนโบนัสสำหรับการเปรียบเทียบความคิดสร้างสรรค์ที่จะสะท้อนกับผู้ดูแลระบบ / นักพัฒนาระบบที่มีประสบการณ์ปานกลาง

28 windows  windows-server-2008  security  active-directory  kerberos 

แก้ไข:ฟอร์แมตใหม่เป็นคำถาม & คำตอบ หากใครก็ตามสามารถเปลี่ยนจาก Community Wiki เป็นคำถามทั่วไปได้ก็อาจเหมาะสมกว่าเช่นกัน ฉันจะตรวจสอบ OpenBSD กับ Active Directory ได้อย่างไร

24 active-directory  authentication  kerberos  openbsd 

คำถามนี้ถูกโยกย้ายจาก Super User เพราะสามารถตอบได้ใน Server Fault อพยพ 8 ปีที่ผ่านมา สมมติว่าฉันมีคอมพิวเตอร์สี่เครื่องแล็ปท็อปเซิร์ฟเวอร์ 1 เซิร์ฟเวอร์ 2 เซิร์ฟเวอร์ Kerberos: ฉันเข้าสู่ระบบโดยใช้ PuTTY หรือ SSH จาก L ถึง S1 โดยระบุชื่อผู้ใช้ / รหัสผ่านของฉัน จาก S1 ฉันแล้ว SSH ถึง S2 ไม่ต้องใช้รหัสผ่านเนื่องจาก Kerberos รับรองความถูกต้องของฉัน อธิบายการแลกเปลี่ยนโปรโตคอล SSH และ KRB5 ที่สำคัญทั้งหมด: "L ส่งชื่อผู้ใช้ไปที่ S1", "K ส่ง ... ไปยัง S1" ฯลฯ (คำถามนี้มีวัตถุประสงค์เพื่อแก้ไขโดยชุมชนโปรดปรับปรุงสำหรับผู้อ่านที่ไม่ใช่ผู้เชี่ยวชาญ …

22 linux  ssh  authentication  kerberos 

เห็นได้ชัดว่า / dev / random ขึ้นอยู่กับการขัดจังหวะของฮาร์ดแวร์หรือลักษณะทางกายภาพที่คาดเดาไม่ได้ของฮาร์ดแวร์ที่คล้ายกัน เนื่องจากเครื่องเสมือนไม่มีฮาร์ดแวร์ที่มีอยู่จริงการทำงานcat /dev/randomภายในเครื่องเสมือนจะไม่สร้างอะไรเลย ฉันใช้ Ubuntu Server 11.04 เป็นโฮสต์และแขกด้วย libvirt / KVM ฉันต้องตั้งค่า Kerberos ภายใน VM แต่krb5_newrealmเพียงแฮงค์ตลอดกาล "กำลังโหลดข้อมูลแบบสุ่ม" เนื่องจากระบบไม่ได้ทำการผลิตใด ๆ ไม่มีใครรู้วิธีแก้ปัญหานี้หรือไม่? เป็นไปได้ที่จะผ่านโฮสต์ / dev / random (ซึ่งช่างพูดมาก) ลงใน vm เพื่อให้ vm สามารถใช้เป็นข้อมูลแบบสุ่มได้หรือไม่? ฉันอ่านแล้วว่ามีทางเลือกซอฟต์แวร์บางอย่าง แต่พวกเขาก็ไม่ได้ดีสำหรับการเข้ารหัสเพราะพวกเขาไม่ได้สุ่มพอ แก้ไข: ปรากฏว่า cat / dev / random บน vm สร้างผลลัพธ์ได้ช้ามาก ๆ ฉันได้ตั้งค่าอาณาจักรของฉันโดยรอประมาณสองชั่วโมงขณะที่มันเป็น …

19 ubuntu  virtual-machines  kerberos  random-number-generator 

กาลครั้งหนึ่งนานมาแล้วมีป่าเสมือนอันอบอุ่นในอเมริกาใต้และเซิร์ฟเวอร์ปลาหมึกอาศัยอยู่ที่นั่น นี่คือภาพการรับรู้ของเครือข่าย: <the Internet> | | A | B Users <---------> [squid-Server] <---> [LDAP-Server] เมื่อUsersคำขอเข้าถึงอินเทอร์เน็ตsquidให้ถามชื่อและหนังสือเดินทางของพวกเขารับรองความถูกต้องโดยLDAPและหาก ldap อนุมัติพวกเขาแล้วเขาก็อนุญาต ทุกคนมีความสุขจนกระทั่งนักดมกลิ่นบางคนขโมยหนังสือเดินทางในเส้นทางระหว่างผู้ใช้กับปลาหมึก [เส้นทาง A] ภัยพิบัติครั้งนี้เกิดขึ้นเพราะปลาหมึกใช้Basic-Authenticationวิธีการ คนในป่ารวมตัวกันเพื่อแก้ปัญหา กระต่ายบางตัวเสนอโดยใช้NTLMวิธีการ งูที่ต้องการDigest-Authenticationในขณะที่Kerberosแนะนำโดยต้นไม้ ท้ายที่สุดแล้วคำตอบมากมายที่นำเสนอโดยผู้คนในป่าและทั้งหมดก็สับสน! The Lion ตัดสินใจที่จะยุติสถานการณ์ เขาตะโกนกฎสำหรับการแก้ปัญหา: โซลูชันจะปลอดภัยหรือไม่! โซลูชันจะใช้งานได้กับเบราว์เซอร์และซอฟต์แวร์ส่วนใหญ่ (เช่นซอฟต์แวร์ดาวน์โหลด) จะแก้ปัญหาได้ง่ายและไม่ต้องการระบบย่อยขนาดใหญ่อื่น ๆ (เช่นเซิร์ฟเวอร์ Samba) วิธีนี้จะไม่ขึ้นอยู่กับโดเมนพิเศษ (เช่น Active Directory) จากนั้นวิธีแก้ปัญหาที่ชาญฉลาดและครอบคลุมเป็นอย่างมากที่นำเสนอโดยลิงทำให้เขากลายเป็นราชาองค์ใหม่แห่งป่า! คุณเดาได้ไหมว่าทางออกคืออะไร เคล็ดลับ: เส้นทางระหว่างsquidและLDAPได้รับการคุ้มครองโดยสิงโตดังนั้นวิธีการแก้ปัญหาจึงไม่ปลอดภัย หมายเหตุ:ขออภัยถ้าเรื่องราวน่าเบื่อและยุ่ง แต่ส่วนใหญ่เป็นเรื่องจริง! =) /~\/~\/~\ /\~/~\/~\/~\/~\ ((/~\/~\/~\/~\/~\)) …

17 security  authentication  ldap  squid  kerberos 

หลายครั้งที่ฉันได้พบนิพจน์ SASL / GSSAPI ฉันค้นหา Google หลายครั้ง แต่ฉันก็ไม่เข้าใจว่ามันคืออะไรและเกี่ยวข้องกับ Kerberos อย่างไร ใครที่มีคำอธิบายง่ายๆเกี่ยวกับเรื่องนี้?

17 linux  kerberos  sasl 

มีกล่อง (~ 30) Linux (RHEL) ไม่กี่กล่องและฉันกำลังมองหาโซลูชันที่จัดการจากส่วนกลางและใช้งานง่ายส่วนใหญ่สำหรับการควบคุมบัญชีผู้ใช้ ฉันคุ้นเคยกับ LDAP และฉันปรับใช้นักบินของ IPA ver2 จาก Red Hat (== FreeIPA) ฉันเข้าใจว่าในทางทฤษฎีแล้ว IPA มีวิธีแก้ปัญหาคล้าย ๆ กับ "MS Windows domain" แต่โดยสรุปแล้วมันไม่ใช่ผลิตภัณฑ์ที่ง่ายและเป็นผู้ใหญ่ [ยัง] นอกเหนือจาก SSO มีคุณลักษณะด้านความปลอดภัยที่มีเฉพาะในโดเมน IPA และไม่สามารถใช้งานได้เมื่อฉันใช้ LDAP หรือไม่ ฉันไม่สนใจ DNS และส่วน NTP ของโดเมน IPA

16 linux  ldap  kerberos  freeipa 

นี่คือสิ่งที่ฉันติดตั้งเมื่อเร็ว ๆ นี้และค่อนข้างเจ็บปวดมาก สภาพแวดล้อมของฉันเริ่มที่จะตกต่ำเพื่อรับรองความถูกต้องของไคลเอนต์ Windows 7 จาก Windows Server 2008 NTLM ไม่ใช่ตัวเลือกจริงๆเนื่องจากการใช้มันต้องการการเปลี่ยนแปลงรีจิสทรีในไคลเอนต์แต่ละตัว MS แนะนำให้ใช้ Kerberos ตั้งแต่ Windows 2000 ดังนั้นในที่สุดก็ถึงเวลาเข้าร่วมโปรแกรม ขอบคุณมากที่ Markus Moeller จากรายชื่อผู้รับจดหมาย Squid ที่ช่วยทำงานนี้

15 windows-server-2008  active-directory  windows-7  squid  kerberos 

มีโปรแกรมบรรทัดคำสั่งที่คุณสามารถใช้ได้หรือไม่?

15 active-directory  kerberos  ntlm 

ฉันมีเครือข่ายเซิร์ฟเวอร์ลินุกซ์ขนาดเล็ก แต่กำลังเติบโต เป็นการดีที่ฉันต้องการเป็นศูนย์กลางในการควบคุมการเข้าถึงของผู้ใช้เปลี่ยนรหัสผ่าน ฯลฯ ... ฉันได้อ่านเกี่ยวกับเซิร์ฟเวอร์ LDAP มากมาย แต่ฉันก็ยังสับสนเกี่ยวกับการเลือกวิธีการรับรองความถูกต้องที่ดีที่สุด TLS / SSL ดีเพียงพอหรือไม่ Kerberos มีประโยชน์อย่างไร? GSSAPI คืออะไร อื่น ๆ ... ฉันไม่พบคำแนะนำที่ชัดเจนที่อธิบายข้อดี / ข้อเสียของวิธีการต่าง ๆ เหล่านี้ ขอบคุณสำหรับความช่วยเหลือ

14 linux  authentication  ldap  kerberos  authorization 

ฉันกำลังตั้งค่าสภาพแวดล้อมการทดสอบที่ไคลเอนต์ Linux (Ubuntu 10.04) จะรับรองความถูกต้องกับเซิร์ฟเวอร์โดเมน Windows Server 2008 R2 ฉันกำลังปฏิบัติตามคำแนะนำอย่างเป็นทางการของ Ubuntu เพื่อตั้งค่าไคลเอนต์ Kerberos ที่นี่: https://help.ubuntu.com/community/Samba/Kerberosแต่ฉันพบปัญหาเมื่อเรียกใช้kinitคำสั่งเพื่อเชื่อมต่อกับเซิร์ฟเวอร์โดเมน คำสั่งที่ฉันใช้คือ: kinit Administrator@DS.DOMAIN.COM. คำสั่งนี้ส่งคืนข้อผิดพลาดต่อไปนี้: Realm not local to KDC while getting initial credentials. น่าเสียดายที่ฉันไม่สามารถหาคนอื่นผ่านการค้นหาของ Google ที่มีข้อผิดพลาดที่แน่นอนดังนั้นฉันจึงไม่ทราบว่ามันหมายถึงอะไร ไคลเอนต์สามารถ ping ชื่อโฮสต์ของเซิร์ฟเวอร์ดังนั้นเซิร์ฟเวอร์ DNS ชี้ไปที่เซิร์ฟเวอร์โดเมน ด้านล่างเป็นไฟล์ krb5.conf ของฉัน: [libdefaults] default = DS.DOMAIN.COM dns_lookup_realm = true dns_lookup_kdc true [realms] DS.DOMAIN.COM …

13 linux  active-directory  kerberos  kinit 

Windows Server 2008 R2 ติดตั้ง SQL Server 2008 R2 แล้ว บริการ MSSQL ทำงานเป็นระบบภายในเครื่อง เซิร์ฟเวอร์ FQDN คือ SQL01.domain.com SQL01 เข้าร่วมกับโดเมน Active Directory ชื่อ domain.com ต่อไปนี้เป็นผลลัพธ์ของ setspn: C:\> setspn -L sql01 ... MSSQLSvc/SQL01.domain.com:1433 MSSQLSvc/SQL01.domain.com WSMAN/SQL01.domain.com WSMAN/SQL01 TERMSRV/SQL01.domain.com TERMSRV/SQL01 RestrictedKrbHost/SQL01 RestrictedKrbHost/SQL01.domain.com HOST/SQL01.domain.com HOST/SQL01 ฉันเปิดสตูดิโอจัดการเซิร์ฟเวอร์ SQL และเชื่อมต่อกับ SQL01 ดังนี้: ฉันเรียกใช้แบบสอบถามต่อไปนี้: SELECT auth_scheme FROM sys.dm_exec_connections …

13 sql-server  kerberos  sql-server-2008-r2  spn 

วิธีที่ดีที่สุดในการเปิดใช้งานการพิสูจน์ตัวจริงของ Windows แบบรวมสำหรับเว็บแอปพลิเคชัน PHP ที่ทำงานบน Apache2 / Linux คืออะไร มี Windows Domain Controller ในเครือข่ายซึ่งควรใช้สำหรับการตรวจสอบความถูกต้อง ฉันพบโมดูล apache เหล่านี้: mod_auth_kerb mod_auth_ntlm_winbind แต่โมดูลเหล่านี้ดูเหมือนจะล้าสมัยมาก (ปรับปรุงล่าสุดปี 2550/2551) มีวิธีที่ดีกว่าและทันสมัยกว่านี้หรือไม่?

12 linux  apache-2.2  kerberos  integrated-authentication 

ฉันกำลังพิจารณาปรับใช้mod_auth_kerbบนเว็บเซิร์ฟเวอร์ภายในของเราเพื่อเปิดใช้งาน SSO ปัญหาที่ชัดเจนอย่างหนึ่งที่ฉันเห็นคือมันเป็นวิธีการทั้งหมดหรือไม่ว่าผู้ใช้โดเมนของคุณสามารถเข้าถึงเว็บไซต์ได้หรือไม่ เป็นไปได้ไหมที่จะรวมmod_auth_kerbกับสิ่งที่ต้องการmod_authnz_ldapตรวจสอบการเป็นสมาชิกกลุ่มในกลุ่มใดกลุ่มหนึ่งใน LDAP? ฉันคาดเดาว่าKrbAuthoritativeตัวเลือกจะมีส่วนเกี่ยวข้องกับสิ่งนี้หรือไม่ นอกจากนี้ตามที่ฉันเข้าใจโมดูลจะตั้งชื่อผู้ใช้username@REALMหลังจากการรับรองความถูกต้อง แต่แน่นอนในไดเรกทอรีที่ผู้ใช้เก็บไว้เป็นชื่อผู้ใช้เท่านั้น นอกจากนี้บางเว็บไซต์ภายในที่เราเรียกใช้เช่น trac มีโปรไฟล์ผู้ใช้เชื่อมโยงกับชื่อผู้ใช้แต่ละคนแล้ว มีวิธีแก้ไขปัญหานี้หรือไม่โดยการถอดบิต realm ออกหลังจากการพิสูจน์ตัวตน

12 apache-2.2  ldap  kerberos  single-sign-on