gssapi

有没有办法让 tortisesvn 使用 Windows 7 kerberos 票证对 apache svn 服务器进行身份验证?
gssapi

有没有办法让 tortisesvn 使用 Windows 7 kerberos 票证对 apache svn 服务器进行身份验证?

我有 Putty,能够在 Windows 7 x64 客户端上使用 gssapi 来对抗 SSH 的 Kerberos 登录。即,它会转发您登录 Windows 时获得的票据。我不知道如何让 tortiseSVN 做同样的事情。我可以让它在我每次做任何事情时提示我输入我的凭据,并且它们有效,方法是在配置文件中将 neon 更改为 serf。但我需要它使用票据,这样我就不必不断输入我的用户名和密码。 如果 Tortise 不能做到这一点,有谁知道适用于 Windows 的 svn 客户端可以做到这一点? ...

Admin

将 gssapi 与 Microsoft Office Outlook 一起使用。
gssapi

将 gssapi 与 Microsoft Office Outlook 一起使用。

目前在windows电脑上我已经安装适用于 Windows 的 Kerberos。 这使得我可以使用 Thunderbird 的 sso 来对抗 Cyrus IMAP。 Thunderbird 可以选择使用 GSSAPI。 是否可以配置 Microsoft Office Outlook 以通过 GSSAPI 访问? 我们的想法是保留我们在 Outlook 桌面客户端中获得的 sso。 我突然想到,可能有一个入口。 我知道达夫邮件但特定于 Exchange 服务器。 我非常感谢对此设置的任何帮助! ...

Admin

如何使用 GSSAPI 身份验证在 dovecot 中使用 allow_nets 额外字段?
gssapi

如何使用 GSSAPI 身份验证在 dovecot 中使用 allow_nets 额外字段?

我想使用 dovecot 和 GSSAPI 身份验证,使用 userdb 和 ldap 后端。有没有办法使用allow_nets存储在 ldap 数据库中的 passdb 额外属性? Dovecot 文档说: GSSAPI 至少需要配置一个 passdb。请注意,即使在任何 passdb 中都找不到用户,身份验证通常也会成功。如果您不想这样,请配置一个 userdb。 如何限制某些用户从特定网络访问?allow_nets是 passdb 中的额外属性,而不是 userdb 中的。 ...

Admin

在 Windows 域中实现 Apache 2.4 的 SSO 的最佳方法是什么?
gssapi

在 Windows 域中实现 Apache 2.4 的 SSO 的最佳方法是什么?

我想在 PHP 8 内联网应用上实现 SSO 身份验证(无需登录/密码提示),该应用在 Windows 版 Apache 2.4 x64 下运行。我的公司有 Active Directory / LDAP / Windows 环境。 我设法通过 Apache 做到这一点修改模型(适用于 Windows 的 NTLM 模块)以及通过 SSPI 模块(mod_authnz_sspi,以前可在 ApacheHaus 上使用)。然后我能够毫无问题地$_SERVER ['REMOTE_USER']获取变量。$_SERVE...

Admin

具有 GSSAPI 身份验证的 Apache2,无法从身份验证中排除一个位置
gssapi

具有 GSSAPI 身份验证的 Apache2,无法从身份验证中排除一个位置

我们有一个 apache2 为 PHP 应用程序提供服务,并使用 kerberos 身份验证。我们在 PHP 应用程序中开发了一个 API,我们希望在没有 Kerberos 身份验证的情况下访问它。但我们无法将该 API 从 Apache 身份验证机制中排除。 我们以前没有 API 的 Apache 配置: DocumentRoot /var/www/html/public <Directory /> AllowOverride None Order Allow,Deny ...

Admin

使用 LAMP GSSAPI/Kerberos 传递 Windows AD 身份验证
gssapi

使用 LAMP GSSAPI/Kerberos 传递 Windows AD 身份验证

尝试在 Windows AD 上建立 LAMP 服务器并使直通身份验证正常工作。有一个问题(可能没有我想象的那么严重),主机名和托管 URL 不匹配:LAMP 主机名为intranethost.mspca.org,托管 URL 为https://testintranet.mspca.org AD 是林/域级别 2012R2。 LAMP 是 Debian 11.8,其中 mod_auth_gssapi 与 Apache 一起安装。LAMP 没有安装 Samba,也不是 AD 域的成员(不确定是否有必要)。 使用以下内容从 Windows DC 创建 keysp...

Admin

使用 GSS 代理身份验证和 LDAP 授权对 Apache 进行故障排除
gssapi

使用 GSS 代理身份验证和 LDAP 授权对 Apache 进行故障排除

我正在加入域的 RHEL 服务器上设置内部 Web 服务器,通过 GSS 代理进行 Kerberos 身份验证,并使用 LDAP 进行分层授权,其中 Active Directory 是真实来源。Kerberos 和身份验证部分运行良好,但我无法使授权正常工作,我没有任何主意。 以下是目录配置: <Directory /var/www/nietools.elsinor.net/html/> AuthType GSSAPI AuthName "GSSAPI Login" Require valid-u...

Admin

以编程方式将成员添加到 Kerberos 域
gssapi

以编程方式将成员添加到 Kerberos 域

我想让嵌入式设备加入基于 Linux 的 AD/DC 域。嵌入式设备上有 kerberos 库(无可执行文件)。嵌入式设备上有一个应用程序,可以作为客户端成功验证并访问域上的服务。我还想让嵌入式设备作为成员加入域,获取凭据并接受来自域用户的身份验证请求。 我一直在使用 kerberos src/appl/gss-sample 目录中的示例程序 gss-server 作为将服务器功能集成到我的应用程序的模型。 提示:我发布了我的解决方案作为该问题的答案。 我遗漏了一个重要的部分。在嵌入式设备能够提供 kerberos 服务之前,它必须加入域,据我所知,这涉及 ...

Admin

设置 SSH-Jumphost | 使用 freeIPA 和 Kerberos-Tickets 的 Proxyjump
gssapi

设置 SSH-Jumphost | 使用 freeIPA 和 Kerberos-Tickets 的 Proxyjump

我想设置一个堡垒(ssh jumphost)来访问防火墙后面的网络。两台服务器都在 freeIPA 域中。客户端是用户机器,不属于 IPA 域。 Internet/客户端 —> SSH-Jumphost —> 登录节点 我的计划是通过凭证登录 ssh-jumphost 以获取有效的 TGT,然后通过获取的 kerberos 票证通过 ssh 连接到登录服务器。 因此,我更改了 ssh 和 sshd 配置,以允许转发 GSSAPI-Credentials。 # IPA-related configuration changes to sshd_co...

Admin

SSH 将不使用密码验证,仍会尝试禁用的方法
gssapi

SSH 将不使用密码验证,仍会尝试禁用的方法

我正在运行 Fedora 36 Workstation,使用的是 OpenSSH 服务器 8.8p1。我想登录单个远程用户并使用其密码进行身份验证,但 OpenSSH 似乎坚决不让我这样做。我尝试了在线找到的所有解决方案。大多数解决方案似乎归结为“编辑密码身份验证行,/etc/ssh/sshd_config使其内容如下: PasswordAuthentication yes 完成。我还设置了以下内容: PubkeyAuthentication no KerberosAuthentication no GSSAPIAuthentication no 我尝试从 ...

Admin

RHEL8 和 GSSAPI Kerberos 通过 Apache 进行身份验证的问题
gssapi

RHEL8 和 GSSAPI Kerberos 通过 Apache 进行身份验证的问题

我正在尝试在当前正在运行的计算机上运行 apache 虚拟主机Red Hat Enterprise Linux release 8.5 (Ootpa),并使用新的 GSSAPI 模块(mod_auth_kerb 的替代品)进行 Kerberos 身份验证。 我还配置了 LDAP 指令,以便通过 LDAP 对我的用户进行身份验证mod_ldap。 我的krb5.conf: [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server ...

Admin

尝试使用 JNDI 和 GSSAPI 执行 LDAP 搜索时获取 javax.naming.CommunicationException:连接重置和 AD“事件 ID 1216”
gssapi

尝试使用 JNDI 和 GSSAPI 执行 LDAP 搜索时获取 javax.naming.CommunicationException:连接重置和 AD“事件 ID 1216”

我正在尝试分析 Ldap 搜索期间出现异常/失败的原因。我正在使用 Active Directory 域控制器上的 JNDI 执行操作。 以下是我正在尝试做的事情的背景: 使用 SASL ( Kerberos authentication) 使用 JAAS ( KRB5LoginModule) 生成LoginContext。 一旦登录成功,LoginContext实例就拥有经过身份验证的主体,该主体TGT在其PrivateCredentials 之后,我使用上述经过身份验证的 GSSAPI 生成 LdapContext Subject。 一旦LdapCon...

Admin

curl 在协商期间不发送凭证
gssapi

curl 在协商期间不发送凭证

我们有一个使用 Kerberos-SSO 的 Jenkins 服务器,如果浏览器上未配置 SSO 或未使用,则会回退到 Basic curl。 但是,当我使用带有参数的 curl 时--negotiate,即使服务器明确发送了 www-authenticate 协商标头,它也不会在被要求提供基本凭据信息时发送它。 使用的命令: curl --verbose --negotiate --basic --user "username":"password" myserver.mycompany.com * About to connect() to myserv...

Admin

无法确定用于 LDAP syncrepl GSSAPI 的主体
gssapi

无法确定用于 LDAP syncrepl GSSAPI 的主体

我已经配置了两个完全在 HA 中运行的 openldap(syncrepl 模式提供程序 - 从属)。在测试了简单的绑定 syncrepl 工作正常后,我尝试仅使用 GSSAPI 从头开始​​部署,以避免使用纯文本密码。我已经将客户端 (ldap.conf) 配置为使用 GSSAPI,并且运行良好,因此它应该也适用于 syncrepl。我已经配置了提供程序和消费者。 这是hdb数据库下的olcSyncrepl的配置,省略authcid和authzid不会改变最终结果: olcSyncrepl{0}: rid=001 provider="ld...

Admin

Azure ADDS 和 GSSAPI
gssapi

Azure ADDS 和 GSSAPI

如何配置 Azure AD 域服务以支持 GSS 协商? 我看到在本地 AD 中可以将其配置为“需要签名”以协商身份验证机制,但对于 Azure ADDS,我找不到有关类似内容的任何文档。我还看到它提到如果使用 TLS,则本地方法不需要签名。 我唯一的选择是通过 LDAPS 与 Azure ADDS 进行简单身份验证绑定吗? ...

Admin