我有 Putty,能够在 Windows 7 x64 客户端上使用 gssapi 来对抗 SSH 的 Kerberos 登录。即,它会转发您登录 Windows 时获得的票据。我不知道如何让 tortiseSVN 做同样的事情。我可以让它在我每次做任何事情时提示我输入我的凭据,并且它们有效,方法是在配置文件中将 neon 更改为 serf。但我需要它使用票据,这样我就不必不断输入我的用户名和密码。 如果 Tortise 不能做到这一点,有谁知道适用于 Windows 的 svn 客户端可以做到这一点? ...
目前在windows电脑上我已经安装适用于 Windows 的 Kerberos。 这使得我可以使用 Thunderbird 的 sso 来对抗 Cyrus IMAP。 Thunderbird 可以选择使用 GSSAPI。 是否可以配置 Microsoft Office Outlook 以通过 GSSAPI 访问? 我们的想法是保留我们在 Outlook 桌面客户端中获得的 sso。 我突然想到,可能有一个入口。 我知道达夫邮件但特定于 Exchange 服务器。 我非常感谢对此设置的任何帮助! ...
我想使用 dovecot 和 GSSAPI 身份验证,使用 userdb 和 ldap 后端。有没有办法使用allow_nets存储在 ldap 数据库中的 passdb 额外属性? Dovecot 文档说: GSSAPI 至少需要配置一个 passdb。请注意,即使在任何 passdb 中都找不到用户,身份验证通常也会成功。如果您不想这样,请配置一个 userdb。 如何限制某些用户从特定网络访问?allow_nets是 passdb 中的额外属性,而不是 userdb 中的。 ...
我想在 PHP 8 内联网应用上实现 SSO 身份验证(无需登录/密码提示),该应用在 Windows 版 Apache 2.4 x64 下运行。我的公司有 Active Directory / LDAP / Windows 环境。 我设法通过 Apache 做到这一点修改模型(适用于 Windows 的 NTLM 模块)以及通过 SSPI 模块(mod_authnz_sspi,以前可在 ApacheHaus 上使用)。然后我能够毫无问题地$_SERVER ['REMOTE_USER']获取变量。$_SERVE...
我们有一个 apache2 为 PHP 应用程序提供服务,并使用 kerberos 身份验证。我们在 PHP 应用程序中开发了一个 API,我们希望在没有 Kerberos 身份验证的情况下访问它。但我们无法将该 API 从 Apache 身份验证机制中排除。 我们以前没有 API 的 Apache 配置: DocumentRoot /var/www/html/public <Directory /> AllowOverride None Order Allow,Deny ...
尝试在 Windows AD 上建立 LAMP 服务器并使直通身份验证正常工作。有一个问题(可能没有我想象的那么严重),主机名和托管 URL 不匹配:LAMP 主机名为intranethost.mspca.org,托管 URL 为https://testintranet.mspca.org AD 是林/域级别 2012R2。 LAMP 是 Debian 11.8,其中 mod_auth_gssapi 与 Apache 一起安装。LAMP 没有安装 Samba,也不是 AD 域的成员(不确定是否有必要)。 使用以下内容从 Windows DC 创建 keysp...
我正在加入域的 RHEL 服务器上设置内部 Web 服务器,通过 GSS 代理进行 Kerberos 身份验证,并使用 LDAP 进行分层授权,其中 Active Directory 是真实来源。Kerberos 和身份验证部分运行良好,但我无法使授权正常工作,我没有任何主意。 以下是目录配置: <Directory /var/www/nietools.elsinor.net/html/> AuthType GSSAPI AuthName "GSSAPI Login" Require valid-u...
我想让嵌入式设备加入基于 Linux 的 AD/DC 域。嵌入式设备上有 kerberos 库(无可执行文件)。嵌入式设备上有一个应用程序,可以作为客户端成功验证并访问域上的服务。我还想让嵌入式设备作为成员加入域,获取凭据并接受来自域用户的身份验证请求。 我一直在使用 kerberos src/appl/gss-sample 目录中的示例程序 gss-server 作为将服务器功能集成到我的应用程序的模型。 提示:我发布了我的解决方案作为该问题的答案。 我遗漏了一个重要的部分。在嵌入式设备能够提供 kerberos 服务之前,它必须加入域,据我所知,这涉及 ...
我想设置一个堡垒(ssh jumphost)来访问防火墙后面的网络。两台服务器都在 freeIPA 域中。客户端是用户机器,不属于 IPA 域。 Internet/客户端 —> SSH-Jumphost —> 登录节点 我的计划是通过凭证登录 ssh-jumphost 以获取有效的 TGT,然后通过获取的 kerberos 票证通过 ssh 连接到登录服务器。 因此,我更改了 ssh 和 sshd 配置,以允许转发 GSSAPI-Credentials。 # IPA-related configuration changes to sshd_co...
我正在运行 Fedora 36 Workstation,使用的是 OpenSSH 服务器 8.8p1。我想登录单个远程用户并使用其密码进行身份验证,但 OpenSSH 似乎坚决不让我这样做。我尝试了在线找到的所有解决方案。大多数解决方案似乎归结为“编辑密码身份验证行,/etc/ssh/sshd_config使其内容如下: PasswordAuthentication yes 完成。我还设置了以下内容: PubkeyAuthentication no KerberosAuthentication no GSSAPIAuthentication no 我尝试从 ...
我正在尝试在当前正在运行的计算机上运行 apache 虚拟主机Red Hat Enterprise Linux release 8.5 (Ootpa),并使用新的 GSSAPI 模块(mod_auth_kerb 的替代品)进行 Kerberos 身份验证。 我还配置了 LDAP 指令,以便通过 LDAP 对我的用户进行身份验证mod_ldap。 我的krb5.conf: [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server ...
我正在尝试分析 Ldap 搜索期间出现异常/失败的原因。我正在使用 Active Directory 域控制器上的 JNDI 执行操作。 以下是我正在尝试做的事情的背景: 使用 SASL ( Kerberos authentication) 使用 JAAS ( KRB5LoginModule) 生成LoginContext。 一旦登录成功,LoginContext实例就拥有经过身份验证的主体,该主体TGT在其PrivateCredentials 之后,我使用上述经过身份验证的 GSSAPI 生成 LdapContext Subject。 一旦LdapCon...
我们有一个使用 Kerberos-SSO 的 Jenkins 服务器,如果浏览器上未配置 SSO 或未使用,则会回退到 Basic curl。 但是,当我使用带有参数的 curl 时--negotiate,即使服务器明确发送了 www-authenticate 协商标头,它也不会在被要求提供基本凭据信息时发送它。 使用的命令: curl --verbose --negotiate --basic --user "username":"password" myserver.mycompany.com * About to connect() to myserv...
我已经配置了两个完全在 HA 中运行的 openldap(syncrepl 模式提供程序 - 从属)。在测试了简单的绑定 syncrepl 工作正常后,我尝试仅使用 GSSAPI 从头开始部署,以避免使用纯文本密码。我已经将客户端 (ldap.conf) 配置为使用 GSSAPI,并且运行良好,因此它应该也适用于 syncrepl。我已经配置了提供程序和消费者。 这是hdb数据库下的olcSyncrepl的配置,省略authcid和authzid不会改变最终结果: olcSyncrepl{0}: rid=001 provider="ld...
如何配置 Azure AD 域服务以支持 GSS 协商? 我看到在本地 AD 中可以将其配置为“需要签名”以协商身份验证机制,但对于 Azure ADDS,我找不到有关类似内容的任何文档。我还看到它提到如果使用 TLS,则本地方法不需要签名。 我唯一的选择是通过 LDAPS 与 Azure ADDS 进行简单身份验证绑定吗? ...