我有一台加入域的 Windows 10 计算机,尝试通过 kerberos 向 ipa(4.4.0)客户端(centos 7.2)进行身份验证,我可以使用用户/密码进行身份验证,然后使用 kinit 进行身份验证,但我似乎无法使用我的机器上的 kerberos 票证进行身份验证。
ipaclients 可以通过 kerberos 向 windows 服务器 (winrm) 进行身份验证。
布局 example.org = 具有用户的受信任域 example.com = 系统的根域 ad.example.com = 系统的子域 ipa.example.com = FreeIPA 的领域
对所有域进行身份验证[电子邮件保护]可以工作,Kerberos 可以像预期的那样用于 IIS Windows 身份验证,Winrm 可以使用 Kerberos 在 Windows 和 Linux 上运行。我还没有使用 keytabs 和受信任用户测试过 apache 401。
debug1:下一个身份验证方法:gssapi-with-mic debug1:其他故障(参见文本)无法找到主机 WIN10HOSTNAME 的领域
debug1:其他故障(见文本)无法找到主机 WIN10HOSTNAME 的领域
debug2:我们没有发送数据包,禁用方法
WIN10HOSTNAME = 主机名
我尝试过 MIT Kerberos,也尝试过在 krb5.ini 文件 (windows) 中设置默认领域。我不太清楚如何设置默认领域。
Windows 10 客户端(mingw64)
ssh -V
OpenSSH_7.1p2,OpenSSL 1.0.2h 2016 年 5 月 3 日
klist
Current LogonId is 0:0x3a258
Cached Tickets: (4)
1 Client: jevans @ EXAMPLE.ORG
Server: krbtgt/AD.EXAMPLE.ORG @ EXAMPLE.COM
KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
Ticket Flags 0x40a50000 -forwardable renewable pre_authent ok_as_delegate name_canonicalize
Start Time: 1/26/2017 8:26:58 (local)
End Time: 1/26/2017 18:25:47 (local)
Renew Time: 1/26/2017 18:25:47 (local)
Session Key Type: RSADSI RC4-HMAC(NT)
Cache Flags: 0
Kdc Called: DC01.example.com
1 Client: jevans @ EXAMPLE.ORG
Server: krbtgt/EXAMPLE.COM @ EXAMPLE.ORG
KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
Ticket Flags 0x40a50000 -forwardable renewable pre_authent ok_as_delegate name_canonicalize
Start Time: 1/26/2017 8:26:58 (local)
End Time: 1/26/2017 18:25:47 (local)
Renew Time: 1/26/2017 18:25:47 (local)
Session Key Type: RSADSI RC4-HMAC(NT)
Cache Flags: 0
Kdc Called: DC01.example.org
2 Client: jevans @ EXAMPLE.ORG
Server: krbtgt/EXAMPLE.ORG @ EXAMPLE.ORG
KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
Ticket Flags 0x40e10000 -forwardable renewable initial pre_authent name_canonicalize
Start Time: 1/26/2017 8:25:47 (local)
End Time: 1/26/2017 18:25:47 (local)
Renew Time: 1/26/2017 18:25:47 (local)
Session Key Type: AES-256-CTS-HMAC-SHA1-96
Cache Flags: 0x1 -PRIMARY
Kdc Called: DC01.example.org
3 Client: jevans @ EXAMPLE.ORG
Server: ldap/AD-DC01.AD.EXAMPLE.ORG/AD.EXAMPLE.ORG @ AD.EXAMPLE.ORG
KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
Ticket Flags 0x40a50000 -forwardable renewable pre_authent ok_as_delegate name_canonicalize
Start Time: 1/26/2017 8:26:58 (local)
End Time: 1/26/2017 18:25:47 (local)
Renew Time: 1/26/2017 18:25:47 (local)
Session Key Type: AES-256-CTS-HMAC-SHA1-96
Cache Flags: 0
Kdc Called: AD-DC01.ad.example.com
Linux 端点
ktutils
然后read_kt /etc/krb5.keytab
,然后list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
1 1 host/[email protected]
2 1 host/[email protected]
3 1 host/[email protected]
4 1 host/[email protected]
5 1 host/[email protected]
6 1 host/[email protected]
7 1 host/[email protected]
8 1 host/[email protected]
9 1 host/[email protected]
10 1 host/[email protected]
11 1 host/[email protected]
12 1 host/[email protected]
答案1
通过丢弃来让它工作mingw64为了赛格威。
mingw64 显然是为极简主义者准备的,缺少必需的 kerberos 包(以及许多其他优秀的包)
我可以让 cygwin 不仅进行 Kerberos 身份验证,还可以SSH 代理密钥