คำถามติดแท็ก kerberos

เรามีบัญชีโดเมนที่ถูกล็อคผ่านเซิร์ฟเวอร์ 1 ใน 2 การตรวจสอบในตัวจะบอกเราว่ามีมากแค่ไหน (ล็อกเอาต์จาก SERVER1, SERVER2) บัญชีถูกล็อคภายใน 5 นาทีดูเหมือนว่าจะมีประมาณ 1 คำขอต่อนาที ในขั้นต้นฉันพยายามเรียกใช้ procmon (จาก sysinternals) เพื่อดูว่ามีการเริ่มกระบวนการใหม่ใด ๆ หลังจากที่ฉันปลดล็อกบัญชีหรือไม่ ไม่มีอะไรน่าสงสัยเกิดขึ้น หลังจากเรียกใช้ procmon บนเวิร์กสเตชันของฉันและยกระดับเป็นเชลล์ UAC (conscent.exe) ดูเหมือนว่าจากสแต็กนั้นntdll.dllและrpct4.dllถูกเรียกเมื่อคุณพยายามรับรองความถูกต้องกับโฆษณา (ไม่แน่ใจ) อย่างไรก็ตามมีการ จำกัด กระบวนการที่ทำให้เกิดการร้องขอการตรวจสอบสิทธิ์ให้กับ DC ของเราหรือไม่ มันเป็น DC เดียวกันเสมอดังนั้นเราจึงรู้ว่ามันต้องเป็นเซิร์ฟเวอร์ในไซต์นั้น ฉันสามารถลองหาสายใน wireshark แต่ฉันไม่แน่ใจว่าจะแคบลงกระบวนการที่เรียกจริง ๆ ไม่มีบริการการแมปไดรฟ์หรืองานที่กำหนดเวลากำลังใช้บัญชีโดเมนนั้น - ดังนั้นจึงต้องเป็นสิ่งที่มีการจัดเก็บเครดิตโดเมน ไม่มีเซสชัน RDP ที่เปิดด้วยบัญชีโดเมนนั้นบนเซิร์ฟเวอร์ใด ๆ (เราตรวจสอบแล้ว) หมายเหตุเพิ่มเติม ใช่การตรวจสอบการเข้าสู่ระบบ …

12 windows  windows-server-2008  active-directory  kerberos 

ดังนั้นฉันจึงตั้งค่าเครือข่ายขนาดเล็กพร้อมสิ่งมาตรฐาน (ไฟล์อีเมล ฯลฯ ) และฉันตัดสินใจที่จะใช้โซลูชัน Kerberos + LDAP ความคิดหรือคำแนะนำเกี่ยวกับ Heimdal vs. MIT? ก่อนหน้านี้ฉันเคยใช้ MIT และเคยสัมผัส Heimdal แต่ฉันไม่รู้ถึงเหตุผลที่แท้จริงในการใช้อีกอันหนึ่ง ฉันเพิ่งรู้ว่าฉันไม่ต้องการที่จะรู้ว่าฉันควรจะใช้ MIT หลังจากที่ทำให้ Heimdal ทั้งหมดขึ้นและทำงานกับฐานข้อมูลผู้ใช้เต็มรูปแบบ หากข้อมูลอื่นใดมีประโยชน์ฉันก็ยินดีให้บริการ

11 kerberos  mitkerberos  heimdal 

ฉันใช้การพิสูจน์ตัวตน SSO โดยใช้mod_auth_kerbบน Apache การกำหนดค่าของฉันมีลักษณะเช่นนี้: <Location /login/ > AuthType Kerberos AuthName "Kerberos Login" KrbMethodNegotiate on KrbAuthoritative on KrbVerifyKDC on KrbAuthRealm D.ETHZ.CH Krb5Keytab /etc/HTTP.keytab KrbSaveCredentials on RequestHeader set KERBEROS_USER %{REMOTE_USER}s </Location> ปัญหาของฉันคือว่าไม่มีrequire valid-user, mod_auth_kerb ไม่ได้พยายามที่จะพิสูจน์ตัวตนผู้ใช้และสิ้นสุดขึ้นเป็นKERBEROS_USER (null)หากฉันเพิ่มrequire valid-userผู้ใช้จะได้รับการรับรองความถูกต้องโดยอัตโนมัติหากเบราว์เซอร์รองรับ แต่จะแสดงฟอร์มล็อกอินที่น่าเกลียด (ala HTTP Basic Auth) หากเบราว์เซอร์ไม่รองรับ Kerberos Negotiate สิ่งที่ฉันต้องการบรรลุคือถ้าผู้ใช้เข้าชม/login/mod_auth_kerb พยายามพิสูจน์ตัวตนผู้ใช้ผ่าน Kerberos Negotiate หากล้มเหลวระบบจะแสดงแบบฟอร์มการเข้าสู่ระบบ HTML …

11 apache-2.2  kerberos  mod-auth-kerb 

ตามเอกสารบางส่วนที่ฉันได้อ่านบัญชีบริการสำหรับเซิร์ฟเวอร์ SQL จะสร้าง SPN เมื่อเอ็นจิ้นฐานข้อมูลเริ่มต้นขึ้นเพื่อให้สามารถตรวจสอบสิทธิ์ Kerberos ได้ ฉันไม่สามารถค้นหาเอกสารใด ๆ ที่ระบุว่าต้องได้รับอนุญาตจากบัญชีใดเพื่อสร้าง SPN ดังนั้นบัญชีใดที่จำเป็นต้องมีสิทธิ์ (ยกเว้นผู้ดูแลระบบโดเมนหากเป็นไปได้) เพื่อสร้าง SPN

11 active-directory  permissions  kerberos  spn 

เรามีการติดตั้ง IDAM ที่ซับซ้อนเล็กน้อย: นั่นคือเครื่องของผู้ใช้และเบราว์เซอร์อยู่ในเครือข่ายเดียวโดยมีโฆษณาหลักและแอพพลิเคชั่นที่ใช้ Jetty ของเราและโฆษณาที่สามารถพูดคุยกับ (โฆษณาท้องถิ่น) นั่งอยู่ในอีกเครือข่ายหนึ่ง มีความน่าเชื่อถือแบบสองทางระหว่างสองโฆษณา เบราว์เซอร์ในเครือข่ายหลักมีโดเมนท้องถิ่นในเว็บไซต์ที่เชื่อถือได้ การตั้งค่าเซิร์ฟเวอร์ Jetty มีดังนี้: มันใช้ไฟล์ตารางคีย์ที่สร้างขึ้นกับเงินต้นในโฆษณาท้องถิ่น มันกำลังทำงานเป็นบริการของ Windows ภายใต้ผู้ใช้ที่กำหนดไว้ในโฆษณาท้องถิ่น realm, domain-realm mapping และ kdc นั้นถูกกำหนดกับโดเมนของ local AD มันใช้ spnego - isInitiator ถูกตั้งค่าเป็นเท็จ doNotPrompt เป็นจริง storeKey เป็นจริง ปัญหาคือ: เป็นแบบทดสอบการเข้าถึงเซิร์ฟเวอร์จากเบราว์เซอร์ที่อยู่ภายในเครือข่ายท้องถิ่น (เชื่อมโยงเช่นการโฆษณาในท้องถิ่นบริการ) ทำงาน - ข้อมูลการแก้ปัญหาของ Kerberos ปรากฏในบันทึกที่ฉันสามารถมองเห็นที่ถูกต้อง Kerberos การเจรจาต่อรองในการเข้าชมของ HTTP และผู้ใช้มีการลงนามโดยอัตโนมัติ . สุกใส อย่างไรก็ตามการเข้าถึงเซิร์ฟเวอร์จากเบราว์เซอร์ภายในเครือข่ายหลัก (ซึ่งเป็นวิธีที่ผู้ใช้ของเราจะทำสิ่งต่าง …

10 active-directory  kerberos  jetty  spnego 

เหตุใดตัวควบคุมโดเมนที่ลดระดับยังคงตรวจสอบผู้ใช้อยู่ เมื่อใดก็ตามที่ผู้ใช้เข้าสู่เวิร์กสเตชันด้วยบัญชีโดเมน DC ที่ลดระดับนี้จะตรวจสอบสิทธิ์พวกเขา บันทึกความปลอดภัยแสดงการเข้าสู่ระบบการออกจากระบบและการเข้าสู่ระบบพิเศษ บันทึกความปลอดภัยของ DCs ใหม่ของเราแสดงการเข้าสู่ระบบของเครื่องและการออกจากระบบ แต่ไม่มีอะไรเกี่ยวข้องกับผู้ใช้โดเมน พื้นหลัง server1 (Windows Server 2008): เพิ่งลดระดับ DC, ไฟล์เซิร์ฟเวอร์ server3 (Windows Server 2008 R2): DC ใหม่ server4 (Windows Server 2008 R2): DC ใหม่ ท่อน การรักษาความปลอดภัยเข้าสู่ระบบกิจกรรม: http://imgur.com/a/6cklL สองตัวอย่างเหตุการณ์จากเซิร์ฟเวอร์ 1 : Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on. Subject: Security ID: NULL …

10 windows-server-2008  active-directory  windows-server-2008-r2  domain-controller  kerberos 

ฉันมีเว็บแอปพลิเคชัน (ชื่อโฮสต์: service.domain.com) และฉันต้องการใช้การพิสูจน์ตัวตน Kerberos เพื่อระบุผู้ใช้ที่เข้าสู่ระบบโดเมน Windows Microsoft AD (Windows Server 2008 R2) กำลังให้บริการ Kerberos บริการนี้เป็นเว็บแอปพลิเคชัน Java ที่ใช้ไลบรารีส่วนขยาย Spring Security Kerberos เพื่อใช้โปรโตคอล SPNEGO / Kerberos ฉันได้สร้างไฟล์ keytab ใน AD ที่มีความลับที่ใช้ร่วมกันซึ่งน่าจะเพียงพอในการรับรองตั๋ว Kerberos ที่เบราว์เซอร์ไคลเอนต์ส่งมาโดยใช้เว็บแอปพลิเคชัน คำถามของฉันคือ service host (service.domain.com) จำเป็นต้องมีการเข้าถึงไฟร์วอลล์ (TCP / UDP 88) ถึง KDC (kdc.domain.com) หรือเป็นไฟล์ keytab ที่เพียงพอสำหรับโฮสต์บริการเพื่อให้สามารถถอดรหัส ตั๋ว Kerberos และให้การรับรองความถูกต้อง?

10 active-directory  firewall  kerberos  springframework 

ตอนนี้ฉันกำลังเขียนโมดูลหุ่นเชิดเพื่อให้กระบวนการเข้าร่วมเซิร์ฟเวอร์ RHEL เป็นโดเมน AD โดยอัตโนมัติด้วยการสนับสนุน Kerberos ปัจจุบันฉันมีปัญหาในการรับและแคช Kerberos การให้สิทธิ์จำหน่ายตั๋วkinitอัตโนมัติ หากสิ่งนี้จะต้องทำด้วยตนเองฉันจะทำ: kinit aduser@REALM.COM สิ่งนี้จะขอรหัสผ่านผู้ใช้ AD ดังนั้นจึงมีปัญหากับการทำเช่นนี้โดยอัตโนมัติ ฉันจะทำให้สิ่งนี้เป็นแบบอัตโนมัติได้อย่างไร ฉันพบบางโพสต์ที่กล่าวถึงการใช้kadminเพื่อสร้างฐานข้อมูลด้วยรหัสผ่านผู้ใช้ AD ในนั้น แต่ฉันไม่มีโชค

10 linux  active-directory  authentication  kerberos 

ฉันมีตัวควบคุมโดเมนแบบสแตนด์อโลนของ Windows 2008 R2 ที่ฉันกู้คืนจากการสำรองข้อมูล DC ดั้งเดิมออฟไลน์ เมื่อฉันเข้าสู่ระบบด้วยข้อมูลประจำตัวของผู้ใช้ที่ถูกต้องฉันได้รับข้อผิดพลาด: "ฐานข้อมูลความปลอดภัยบนเซิร์ฟเวอร์ไม่มีบัญชีคอมพิวเตอร์สำหรับความสัมพันธ์ที่เชื่อถือกับเวิร์กสเตชันนี้" ฉันจะเข้าสู่ตัวควบคุมโดเมนและแก้ไขสิ่งที่เสียหายได้อย่างไร นี่เป็น DC เดียวในป่า สำหรับสิ่งที่คุ้มค่าฉันกำลังโฮสต์เซิร์ฟเวอร์นี้ที่ Rackspace ดังนั้นตัวเลือกทางกายภาพของฉันจึงมี จำกัด

10 active-directory  windows-server-2008-r2  kerberos 

ฉันมีไดเรกทอรี AD / Linux / LDAP / KRB5 ที่ใช้งานได้และการตั้งค่าการรับรองความถูกต้องมีปัญหาเล็กน้อย เมื่อบัญชีถูกปิดใช้งานการรับรองความถูกต้อง publickey SSH ยังคงอนุญาตให้เข้าสู่ระบบของผู้ใช้ เป็นที่ชัดเจนว่าลูกค้า kerberos สามารถระบุบัญชีที่ถูกปิดใช้งานเนื่องจาก kinit และ kpasswd ส่งคืน "ข้อมูลประจำตัวของลูกค้าถูกเพิกถอน" โดยไม่มีรหัสผ่าน / การโต้ตอบเพิ่มเติม PAM สามารถกำหนดค่า (ด้วย "UsePAM ใช่" ใน sshd_config) เพื่อไม่อนุญาตให้ลงชื่อเข้าใช้สำหรับบัญชีที่ถูกปิดการใช้งานซึ่งการรับรองความถูกต้องจะทำโดย publickey? ดูเหมือนจะใช้งานไม่ได้: account [default=bad success=ok user_unknown=ignore] pam_krb5.so กรุณาอย่าแนะนำ winbind ในคำตอบของคุณ - เราไม่ได้ใช้มัน

10 linux  active-directory  kerberos  pam 

คอมพิวเตอร์ในพื้นที่ของฉันใช้ Windows 7 Pro และเป็นของ LR ขอบเขตจัดการโดยเซิร์ฟเวอร์โฆษณา ฉันลงชื่อเข้าใช้คอมพิวเตอร์ในขณะที่เชื่อมต่อกับเครือข่ายของอาณาจักรนั้น ฉันสามารถดู TGT ด้วย MIT Kerberos สำหรับ Windows เวอร์ชั่น 4.0.1 ฉันต้องการเข้าถึงทรัพยากรในอาณาจักรต่างประเทศ FR Kerberos ไม่ไว้วางใจระหว่าง LR และ FR แต่อนุญาตการรับส่งข้อมูล TCP ระหว่างกัน ฉันขอ TGT สำหรับ FR ด้วย KDC (Red Hat IdM / FreeIPA) และป้อนรหัสผ่านของฉันสำเร็จเมื่อถูกท้าทาย อีกครั้งฉันสามารถดู TGT ด้วย MIT Kerberos สำหรับ Windows เวอร์ชั่น 4.0.1 ตอนนี้ฉันสามารถเข้าถึงทรัพยากรใน FR …

10 kerberos 

ฉันกำหนดค่าเซิร์ฟเวอร์ลินุกซ์สองสามตัวให้รับรองความถูกต้องกับ Active Directory Kerberos โดยใช้ sssd บน RHEL6 ฉันยังเปิดใช้งานการตรวจสอบสิทธิ์ GSSAPI ด้วยความหวังว่าจะมีการลงชื่อเข้าใช้แบบไม่มีรหัสผ่าน แต่ดูเหมือนว่าฉันจะไม่ได้รับ Putty (0.63) ในการตรวจสอบสิทธิ์โดยไม่มีรหัสผ่าน GSSAPI ทำงานระหว่างระบบ Linux (ไคลเอนต์ openSSH) ที่กำหนดค่าสำหรับการตรวจสอบสิทธิ์โฆษณาโดยใช้การตั้งค่า. ssh / config เพื่อเปิดใช้งาน GSSAPI นอกจากนี้ยังใช้งานได้จาก Cygwin (ไคลเอนต์ openSSH) โดยใช้การตั้งค่า. ssh / config เดียวกันรวมถึงการรันคำสั่ง kinit เพื่อรับตั๋ว Samba ยังแชร์ในระบบ Linux ทั้งหมดรวมถึงโฮมไดเรกทอรีทำงานจาก Windows Explorer โดยไม่ต้องใช้รหัสผ่าน (ฉันไม่แน่ใจว่า GSSAPI เข้ามาเล่นที่นั่นหรือไม่) ฉันสามารถลองแก้ไขปัญหาอะไรได้บ้าง ผู้ใช้ส่วนใหญ่ของฉันใช้ผงสำหรับอุดรู นอกจากนี้ฉันไม่ใช่ผู้ดูแลระบบ …

9 linux  active-directory  kerberos  putty  gssapi 

ฉันต้องการทราบว่าเป็นไปได้หรือไม่ที่จะสร้างไฟล์ตารางแท็บโดยตรงจากเครื่องไคลเอนต์โดยไม่ใช้ktpassยูทิลิตี้ในฝั่งเซิร์ฟเวอร์ Windows เหตุผลหลักที่ฉันต้องการสิ่งนี้คือการเปิดใช้งานการรวมการตรวจสอบสิทธิ์ Kerberos จาก Windows Active Directory ในเครื่อง Linux โดยอัตโนมัติโดยใช้เชลล์สคริปต์บางตัว ขอบคุณ

9 active-directory  windows  kerberos 

ใน Kerberos เซิร์ฟเวอร์การรับรองความถูกต้อง (AS) และเซิร์ฟเวอร์การให้สิทธิ์ตั๋ว (TGS) มักจะใช้งานบนเซิร์ฟเวอร์เดียวกัน เครื่องนี้เรียกว่า Key Distribution Center (KDC) แน่นอนมันเหมาะสมที่จะใช้บริการเหล่านี้บนเครื่องทางกายภาพเดียวกันในเครือข่ายขนาดเล็กและขนาดกลางมันจะ overkill เกินกว่าที่จะแยกบริการทั้งสองนี้ นอกจากนี้ฉันมีแหล่งข้อมูลที่เชื่อถือได้ซึ่งพูดว่า (แปล): TGS และ AS ต้องเข้าถึง DB => เหมือนกันมันไม่สมเหตุสมผลเลยที่จะใช้ TGS และ AS บนเครื่องที่แตกต่างกัน อย่างไรก็ตามฉันไม่เห็นว่าจะต้องแชร์ฐานข้อมูลใดระหว่างสอง นี่คือความคิดของฉันฉันจะแยก AS และ TGS ได้อย่างไรไม่มีฐานข้อมูลที่แชร์: เนื่องจาก AS และ TGS แยกจากกันพวกเขาจึงมีข้อมูลลับหลัก AS มีฐานข้อมูลพร้อมผู้ใช้ทั้งหมดที่มีข้อมูลลับหลักของตน (ใช้เมื่อผู้ใช้ลงชื่อเข้าใช้เพื่อเข้ารหัสคีย์เซสชัน) รวมถึงข้อมูลลับหลักของ TGS (เพื่อเข้ารหัส TGT ที่ร้องขอ) TGS มีฐานข้อมูลซึ่งช่วยให้สามารถกำหนดผู้ใช้ที่ได้รับอนุญาตให้ใช้บริการใด (ACL, …

9 kerberos 

ขั้นตอนที่จำเป็นในการรับรองความถูกต้องผู้ใช้จาก Active Directory ที่ทำงานบน Windows Server 2012 R2 ใน FreeBSD 10.0 ใช้sssdกับแบ็กเอนด์โฆษณาที่มี Kerberos TGT ทำงานอย่างไร

9 active-directory  freebsd  kerberos  windows-server-2012-r2  sssd