คำถามติดแท็ก kerberos

Kerberos เป็นโปรโตคอลการตรวจสอบความถูกต้องเครือข่ายคอมพิวเตอร์ซึ่งช่วยให้โหนดสามารถสื่อสารผ่านเครือข่ายที่ไม่ปลอดภัยเพื่อพิสูจน์ตัวตนของพวกเขาต่อกันอย่างปลอดภัย ผู้ออกแบบมุ่งเน้นที่รูปแบบไคลเอนต์ - เซิร์ฟเวอร์และให้การรับรองความถูกต้องซึ่งกันและกัน - ทั้งผู้ใช้และเซิร์ฟเวอร์ตรวจสอบตัวตนของกันและกัน

5
เหตุใดจึงต้องใช้ Kerberos แทนที่จะเป็น NTLM ใน IIS
นี่คือสิ่งที่ฉันไม่เคยได้รับคำตอบเช่นเดียวกับที่ฉันชอบ: ข้อได้เปรียบที่แท้จริงของการใช้การพิสูจน์ตัวตน Kerberos ใน IIS แทนที่จะเป็น NTLM คืออะไร ฉันเคยเห็นผู้คนมากมายต้องดิ้นรนเพื่อตั้งค่า (รวมตัวเอง) และฉันไม่สามารถหาเหตุผลที่ดีในการใช้งานได้ จะต้องมีข้อได้เปรียบที่ค่อนข้างสวย แต่ไม่อย่างนั้นมันจะไม่คุ้มค่ากับปัญหาทั้งหมดในการตั้งค่าใช่ไหม
40 iis  kerberos  windows  ntlm 

2
ใครช่วยอธิบายชื่อ Service Service ของ Windows (SPNs) ได้โดยไม่ต้องแจ้งให้ทราบล่วงหน้า
ฉันได้ปล้ำกับชื่อหลักการบริการสองสามครั้งแล้วและคำอธิบายของ Microsoftนั้นไม่เพียงพอ ฉันกำลังกำหนดค่าแอปพลิเคชัน IIS ให้ทำงานบนโดเมนของเราและดูเหมือนว่าปัญหาบางอย่างของฉันเกี่ยวข้องกับความต้องการของฉันในการกำหนดค่าSPN เฉพาะ http ในบัญชีบริการ windowsที่กำลังเรียกใช้พูลโปรแกรมประยุกต์ที่โฮสต์ไซต์ของฉัน ทั้งหมดนี้ทำให้ฉันรู้ว่าฉันไม่ได้รับความสัมพันธ์ระหว่างประเภทบริการ (MSSQL, http, โฮสต์, termsrv, wsman, ฯลฯ ) อย่างเต็มที่, การพิสูจน์ตัวตน Kerberos, บัญชีคอมพิวเตอร์ไดเรกทอรีที่ใช้งานอยู่ (PCName $), บัญชีบริการ windows, SPNs และบัญชีผู้ใช้ที่ฉันใช้เพื่อลองและเข้าถึงบริการ ใครช่วยอธิบายชื่อ Service Service ของ Windows (SPNs) ได้โดยไม่ต้องอธิบายให้ละเอียด คะแนนโบนัสสำหรับการเปรียบเทียบความคิดสร้างสรรค์ที่จะสะท้อนกับผู้ดูแลระบบ / นักพัฒนาระบบที่มีประสบการณ์ปานกลาง

2
ตรวจสอบ OpenBSD กับ Active Directory
แก้ไข:ฟอร์แมตใหม่เป็นคำถาม & คำตอบ หากใครก็ตามสามารถเปลี่ยนจาก Community Wiki เป็นคำถามทั่วไปได้ก็อาจเหมาะสมกว่าเช่นกัน ฉันจะตรวจสอบ OpenBSD กับ Active Directory ได้อย่างไร

3
Kerberos ทำงานกับ SSH อย่างไร
คำถามนี้ถูกโยกย้ายจาก Super User เพราะสามารถตอบได้ใน Server Fault อพยพ 8 ปีที่ผ่านมา สมมติว่าฉันมีคอมพิวเตอร์สี่เครื่องแล็ปท็อปเซิร์ฟเวอร์ 1 เซิร์ฟเวอร์ 2 เซิร์ฟเวอร์ Kerberos: ฉันเข้าสู่ระบบโดยใช้ PuTTY หรือ SSH จาก L ถึง S1 โดยระบุชื่อผู้ใช้ / รหัสผ่านของฉัน จาก S1 ฉันแล้ว SSH ถึง S2 ไม่ต้องใช้รหัสผ่านเนื่องจาก Kerberos รับรองความถูกต้องของฉัน อธิบายการแลกเปลี่ยนโปรโตคอล SSH และ KRB5 ที่สำคัญทั้งหมด: "L ส่งชื่อผู้ใช้ไปที่ S1", "K ส่ง ... ไปยัง S1" ฯลฯ (คำถามนี้มีวัตถุประสงค์เพื่อแก้ไขโดยชุมชนโปรดปรับปรุงสำหรับผู้อ่านที่ไม่ใช่ผู้เชี่ยวชาญ …

6
ฉันจะรับ / dev / random เพื่อทำงานบนเครื่องเสมือน Ubuntu ได้อย่างไร
เห็นได้ชัดว่า / dev / random ขึ้นอยู่กับการขัดจังหวะของฮาร์ดแวร์หรือลักษณะทางกายภาพที่คาดเดาไม่ได้ของฮาร์ดแวร์ที่คล้ายกัน เนื่องจากเครื่องเสมือนไม่มีฮาร์ดแวร์ที่มีอยู่จริงการทำงานcat /dev/randomภายในเครื่องเสมือนจะไม่สร้างอะไรเลย ฉันใช้ Ubuntu Server 11.04 เป็นโฮสต์และแขกด้วย libvirt / KVM ฉันต้องตั้งค่า Kerberos ภายใน VM แต่krb5_newrealmเพียงแฮงค์ตลอดกาล "กำลังโหลดข้อมูลแบบสุ่ม" เนื่องจากระบบไม่ได้ทำการผลิตใด ๆ ไม่มีใครรู้วิธีแก้ปัญหานี้หรือไม่? เป็นไปได้ที่จะผ่านโฮสต์ / dev / random (ซึ่งช่างพูดมาก) ลงใน vm เพื่อให้ vm สามารถใช้เป็นข้อมูลแบบสุ่มได้หรือไม่? ฉันอ่านแล้วว่ามีทางเลือกซอฟต์แวร์บางอย่าง แต่พวกเขาก็ไม่ได้ดีสำหรับการเข้ารหัสเพราะพวกเขาไม่ได้สุ่มพอ แก้ไข: ปรากฏว่า cat / dev / random บน vm สร้างผลลัพธ์ได้ช้ามาก ๆ ฉันได้ตั้งค่าอาณาจักรของฉันโดยรอประมาณสองชั่วโมงขณะที่มันเป็น …

2
เรื่องราวของการรับรองความถูกต้องของผู้ใช้ที่ปลอดภัยในปลาหมึก
กาลครั้งหนึ่งนานมาแล้วมีป่าเสมือนอันอบอุ่นในอเมริกาใต้และเซิร์ฟเวอร์ปลาหมึกอาศัยอยู่ที่นั่น นี่คือภาพการรับรู้ของเครือข่าย: <the Internet> | | A | B Users <---------> [squid-Server] <---> [LDAP-Server] เมื่อUsersคำขอเข้าถึงอินเทอร์เน็ตsquidให้ถามชื่อและหนังสือเดินทางของพวกเขารับรองความถูกต้องโดยLDAPและหาก ldap อนุมัติพวกเขาแล้วเขาก็อนุญาต ทุกคนมีความสุขจนกระทั่งนักดมกลิ่นบางคนขโมยหนังสือเดินทางในเส้นทางระหว่างผู้ใช้กับปลาหมึก [เส้นทาง A] ภัยพิบัติครั้งนี้เกิดขึ้นเพราะปลาหมึกใช้Basic-Authenticationวิธีการ คนในป่ารวมตัวกันเพื่อแก้ปัญหา กระต่ายบางตัวเสนอโดยใช้NTLMวิธีการ งูที่ต้องการDigest-Authenticationในขณะที่Kerberosแนะนำโดยต้นไม้ ท้ายที่สุดแล้วคำตอบมากมายที่นำเสนอโดยผู้คนในป่าและทั้งหมดก็สับสน! The Lion ตัดสินใจที่จะยุติสถานการณ์ เขาตะโกนกฎสำหรับการแก้ปัญหา: โซลูชันจะปลอดภัยหรือไม่! โซลูชันจะใช้งานได้กับเบราว์เซอร์และซอฟต์แวร์ส่วนใหญ่ (เช่นซอฟต์แวร์ดาวน์โหลด) จะแก้ปัญหาได้ง่ายและไม่ต้องการระบบย่อยขนาดใหญ่อื่น ๆ (เช่นเซิร์ฟเวอร์ Samba) วิธีนี้จะไม่ขึ้นอยู่กับโดเมนพิเศษ (เช่น Active Directory) จากนั้นวิธีแก้ปัญหาที่ชาญฉลาดและครอบคลุมเป็นอย่างมากที่นำเสนอโดยลิงทำให้เขากลายเป็นราชาองค์ใหม่แห่งป่า! คุณเดาได้ไหมว่าทางออกคืออะไร เคล็ดลับ: เส้นทางระหว่างsquidและLDAPได้รับการคุ้มครองโดยสิงโตดังนั้นวิธีการแก้ปัญหาจึงไม่ปลอดภัย หมายเหตุ:ขออภัยถ้าเรื่องราวน่าเบื่อและยุ่ง แต่ส่วนใหญ่เป็นเรื่องจริง! =) /~\/~\/~\ /\~/~\/~\/~\/~\ ((/~\/~\/~\/~\/~\)) …

2
SASL / GSSAPI คืออะไร
หลายครั้งที่ฉันได้พบนิพจน์ SASL / GSSAPI ฉันค้นหา Google หลายครั้ง แต่ฉันก็ไม่เข้าใจว่ามันคืออะไรและเกี่ยวข้องกับ Kerberos อย่างไร ใครที่มีคำอธิบายง่ายๆเกี่ยวกับเรื่องนี้?
17 linux  kerberos  sasl 

1
IPA vs เพียง LDAP สำหรับกล่อง Linux - กำลังมองหาการเปรียบเทียบ
มีกล่อง (~ 30) Linux (RHEL) ไม่กี่กล่องและฉันกำลังมองหาโซลูชันที่จัดการจากส่วนกลางและใช้งานง่ายส่วนใหญ่สำหรับการควบคุมบัญชีผู้ใช้ ฉันคุ้นเคยกับ LDAP และฉันปรับใช้นักบินของ IPA ver2 จาก Red Hat (== FreeIPA) ฉันเข้าใจว่าในทางทฤษฎีแล้ว IPA มีวิธีแก้ปัญหาคล้าย ๆ กับ "MS Windows domain" แต่โดยสรุปแล้วมันไม่ใช่ผลิตภัณฑ์ที่ง่ายและเป็นผู้ใหญ่ [ยัง] นอกเหนือจาก SSO มีคุณลักษณะด้านความปลอดภัยที่มีเฉพาะในโดเมน IPA และไม่สามารถใช้งานได้เมื่อฉันใช้ LDAP หรือไม่ ฉันไม่สนใจ DNS และส่วน NTP ของโดเมน IPA
16 linux  ldap  kerberos  freeipa 

3
รับ Squid เพื่อตรวจสอบสิทธิ์กับ kerberos และ Windows 2008/2003/7 / XP
นี่คือสิ่งที่ฉันติดตั้งเมื่อเร็ว ๆ นี้และค่อนข้างเจ็บปวดมาก สภาพแวดล้อมของฉันเริ่มที่จะตกต่ำเพื่อรับรองความถูกต้องของไคลเอนต์ Windows 7 จาก Windows Server 2008 NTLM ไม่ใช่ตัวเลือกจริงๆเนื่องจากการใช้มันต้องการการเปลี่ยนแปลงรีจิสทรีในไคลเอนต์แต่ละตัว MS แนะนำให้ใช้ Kerberos ตั้งแต่ Windows 2000 ดังนั้นในที่สุดก็ถึงเวลาเข้าร่วมโปรแกรม ขอบคุณมากที่ Markus Moeller จากรายชื่อผู้รับจดหมาย Squid ที่ช่วยทำงานนี้


4
Linux Central Authentication / Authorization Method
ฉันมีเครือข่ายเซิร์ฟเวอร์ลินุกซ์ขนาดเล็ก แต่กำลังเติบโต เป็นการดีที่ฉันต้องการเป็นศูนย์กลางในการควบคุมการเข้าถึงของผู้ใช้เปลี่ยนรหัสผ่าน ฯลฯ ... ฉันได้อ่านเกี่ยวกับเซิร์ฟเวอร์ LDAP มากมาย แต่ฉันก็ยังสับสนเกี่ยวกับการเลือกวิธีการรับรองความถูกต้องที่ดีที่สุด TLS / SSL ดีเพียงพอหรือไม่ Kerberos มีประโยชน์อย่างไร? GSSAPI คืออะไร อื่น ๆ ... ฉันไม่พบคำแนะนำที่ชัดเจนที่อธิบายข้อดี / ข้อเสียของวิธีการต่าง ๆ เหล่านี้ ขอบคุณสำหรับความช่วยเหลือ

8
Kinit จะไม่เชื่อมต่อกับเซิร์ฟเวอร์โดเมน: ขอบเขตไม่ใช่ภายใน KDC ในขณะที่รับข้อมูลรับรองเริ่มต้น
ฉันกำลังตั้งค่าสภาพแวดล้อมการทดสอบที่ไคลเอนต์ Linux (Ubuntu 10.04) จะรับรองความถูกต้องกับเซิร์ฟเวอร์โดเมน Windows Server 2008 R2 ฉันกำลังปฏิบัติตามคำแนะนำอย่างเป็นทางการของ Ubuntu เพื่อตั้งค่าไคลเอนต์ Kerberos ที่นี่: https://help.ubuntu.com/community/Samba/Kerberosแต่ฉันพบปัญหาเมื่อเรียกใช้kinitคำสั่งเพื่อเชื่อมต่อกับเซิร์ฟเวอร์โดเมน คำสั่งที่ฉันใช้คือ: kinit Administrator@DS.DOMAIN.COM. คำสั่งนี้ส่งคืนข้อผิดพลาดต่อไปนี้: Realm not local to KDC while getting initial credentials. น่าเสียดายที่ฉันไม่สามารถหาคนอื่นผ่านการค้นหาของ Google ที่มีข้อผิดพลาดที่แน่นอนดังนั้นฉันจึงไม่ทราบว่ามันหมายถึงอะไร ไคลเอนต์สามารถ ping ชื่อโฮสต์ของเซิร์ฟเวอร์ดังนั้นเซิร์ฟเวอร์ DNS ชี้ไปที่เซิร์ฟเวอร์โดเมน ด้านล่างเป็นไฟล์ krb5.conf ของฉัน: [libdefaults] default = DS.DOMAIN.COM dns_lookup_realm = true dns_lookup_kdc true [realms] DS.DOMAIN.COM …

1
ทำไม MS SQL Server ถึงใช้การพิสูจน์ตัวตนแบบ NTLM
Windows Server 2008 R2 ติดตั้ง SQL Server 2008 R2 แล้ว บริการ MSSQL ทำงานเป็นระบบภายในเครื่อง เซิร์ฟเวอร์ FQDN คือ SQL01.domain.com SQL01 เข้าร่วมกับโดเมน Active Directory ชื่อ domain.com ต่อไปนี้เป็นผลลัพธ์ของ setspn: C:\> setspn -L sql01 ... MSSQLSvc/SQL01.domain.com:1433 MSSQLSvc/SQL01.domain.com WSMAN/SQL01.domain.com WSMAN/SQL01 TERMSRV/SQL01.domain.com TERMSRV/SQL01 RestrictedKrbHost/SQL01 RestrictedKrbHost/SQL01.domain.com HOST/SQL01.domain.com HOST/SQL01 ฉันเปิดสตูดิโอจัดการเซิร์ฟเวอร์ SQL และเชื่อมต่อกับ SQL01 ดังนี้: ฉันเรียกใช้แบบสอบถามต่อไปนี้: SELECT auth_scheme FROM sys.dm_exec_connections …

2
การพิสูจน์ตัวจริงของ Windows แบบรวมกับ Apache HTTP Server บน Linux
วิธีที่ดีที่สุดในการเปิดใช้งานการพิสูจน์ตัวจริงของ Windows แบบรวมสำหรับเว็บแอปพลิเคชัน PHP ที่ทำงานบน Apache2 / Linux คืออะไร มี Windows Domain Controller ในเครือข่ายซึ่งควรใช้สำหรับการตรวจสอบความถูกต้อง ฉันพบโมดูล apache เหล่านี้: mod_auth_kerb mod_auth_ntlm_winbind แต่โมดูลเหล่านี้ดูเหมือนจะล้าสมัยมาก (ปรับปรุงล่าสุดปี 2550/2551) มีวิธีที่ดีกว่าและทันสมัยกว่านี้หรือไม่?

3
Apache mod_auth_kerb และกลุ่มผู้ใช้ LDAP
ฉันกำลังพิจารณาปรับใช้mod_auth_kerbบนเว็บเซิร์ฟเวอร์ภายในของเราเพื่อเปิดใช้งาน SSO ปัญหาที่ชัดเจนอย่างหนึ่งที่ฉันเห็นคือมันเป็นวิธีการทั้งหมดหรือไม่ว่าผู้ใช้โดเมนของคุณสามารถเข้าถึงเว็บไซต์ได้หรือไม่ เป็นไปได้ไหมที่จะรวมmod_auth_kerbกับสิ่งที่ต้องการmod_authnz_ldapตรวจสอบการเป็นสมาชิกกลุ่มในกลุ่มใดกลุ่มหนึ่งใน LDAP? ฉันคาดเดาว่าKrbAuthoritativeตัวเลือกจะมีส่วนเกี่ยวข้องกับสิ่งนี้หรือไม่ นอกจากนี้ตามที่ฉันเข้าใจโมดูลจะตั้งชื่อผู้ใช้username@REALMหลังจากการรับรองความถูกต้อง แต่แน่นอนในไดเรกทอรีที่ผู้ใช้เก็บไว้เป็นชื่อผู้ใช้เท่านั้น นอกจากนี้บางเว็บไซต์ภายในที่เราเรียกใช้เช่น trac มีโปรไฟล์ผู้ใช้เชื่อมโยงกับชื่อผู้ใช้แต่ละคนแล้ว มีวิธีแก้ไขปัญหานี้หรือไม่โดยการถอดบิต realm ออกหลังจากการพิสูจน์ตัวตน

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.