是否有人知道任何现有文档、HOWTO、SE 问题,甚至是博客文章,其中展示了从 Heimdal 到 MIT KDC 的 Kerberos 数据库迁移示例?有没有人自己做过这个操作?如果有,你发现任何陷阱了吗,还是它只是起作用了? H5l.org 已关闭,因此我正在寻找回程路线;我看到了以前一直在那里的 MIT 到 Heimdal 迁移文档 —— 现在重新阅读它们,它们暗示你应该能够双向进行,因此还有希望:http://web.archive.org/web/20160610142834/http://www.h5l.org/manual/HEAD/info...
从http://www.h5l.org/manual/HEAD/info/heimdal/Using-LDAP-to-store-the-database.html#Using-LDAP-to-store-the-database Heimdal 的当前版本,配置了 --with-openldap=/usr/local Heimdal 的 OpenBSD 软件包未配置 OpenLDAP 支持。我想在编译时添加 OpenLDAP 支持。 我下载了 OpenBSD 端口树并安装了它。我可以使用makeheimdal 端口,但我不确定如何配置它以使用...
%3A%20Bad%20address%E2%80%9D%E9%94%99%E8%AF%AF.png)
我正在尝试设置一个具有一个主服务器和一个副本的 Heimdal KDC 环境。当我尝试在主服务器上启动复制服务时,它失败并显示以下错误: ipropd-master[22640]: open (null): Bad address 我正在运行的命令是这样的: /usr/sbin/ipropd-master -c /etc/heimdal-kdc/kdc.conf -k /etc/heimdal-kdc/iprop.keytab 这是我在命令上运行的 strace 的一部分: open("/etc/heimdal-kdc/kdc.conf", O...
在 Debian GNU/Linux 环境中,我无法让 SASL 与 kerberos 一起工作: sudo /usr/sbin/sasl-sample-server -m GSSAPI -s ldap 强制使用机制 GSSAPI 发送 1 个机制列表 发送:R1NTQVBJ 正在等待客户端机制... C:[...删减了很多行...] 得到‘GSSAPI’ sasl-sample-server:SASL 其他:GSSAPI 错误:未提供任何凭据,或者凭据不可用或无法访问。(未知机械代码 0,代表未知机械) sasl-sample-server:正在启动 S...
我的 FreeBSD 机器使用 Heimdal Kerberos 实现。它在公司 AD 中注册,其msDS-KeyVersionNumber-attribute 设置为 2,其 keytab 具有以下条目: FILE:/etc/krb5.keytab: Vno Type Principal Aliases 2 aes256-cts-hmac-sha1-96 [email protected] ...
我把一直困扰我们的问题追溯到一个“简单”的问题: Kerberos 票证与 OS X Open Directory 密码更改不同步。 另一种说法是: 过期/即将过期的票证续订请求将使用旧密钥进行签名,直到机器重新启动。 我怎样才能使它们重新同步? ...
我正在尝试将带有 OpenLDAP 后端的 heimdal KDC 从 Debian 5.x 服务器(heimdal 1.2.dfsg.1-2.1)迁移到 Ubuntu 14.04 服务器(heimdal 1.6~git20131207+dfsg-1ubuntu1.1),但在 14.04 系统上遇到了 kadmind 问题。 某些 kerberos 功能运行良好 - 我可以运行 kinit、获取票证并成功使用 sshd 进行 GSSAPI 身份验证。我甚至可以成功使用带有 -l 选项的 kadmin。但是,当我省略 -l 选项并尝试与 kadmind 通信...
我们在 OS X 10.10 Yosemite 上运行 KDC,并为其添加了用于远程访问(旧版)主机的服务主体: $ kadmin add -r host/a.b.c.d@REALM 由于主机仅支持des-cbc-crc密钥加密,我们尝试(但没有成功)添加以下内容: $ kadmin add_enctype -r host/a.b.c.d@REALM des-cbc-crc kadmin: bad enctype "des-cbc-crc" 考虑到 DES 默认(相当合理地)是禁用的,我们尝试将其放置allow_weak_crypto=true在...
我的客户端/服务器都运行 Ubuntu 14.04,kerberos 用户身份验证按预期工作。常规 nfs4 挂载也运行良好。所有机器都在运行 heimdal 库。 我还无法让 Kerberos 化的 nfs4 工作。 当挂载共享时,我在日志中收到以下条目: NFS4 服务器: Jun 22 11:25:13 SERVER rpc.svcgssd[7349]: leaving poll Jun 22 11:25:13 SERVER rpc.svcgssd[7349]: handling null request Jun 22 11:25:13 S...
我的客户端/服务器都运行 ubuntu 14.04,kerberos 用户身份验证按预期工作。常规 nfs4 挂载也运行良好。所有机器都在运行 heimdal 库。 我还无法让 Kerberos 化的 nfs4 工作。 当挂载共享时,我收到以下日志: 客户: # mount -t nfs4 -o sec=krb5 server:/ /mnt/tmp -vvvvvv mount: fstab path: "/e...
当我尝试使用 heimdal-kdc 进行身份验证时,在 kdc 日志中收到此错误: (enctype aes256-cts-hmac-sha1-96) error Decrypt integrity check failed for checksum type hmac-sha1-96-aes256, key type aes256-cts-hmac-sha1-96 并且验证失败!!! 但使用 kinit 的身份验证是正确的!! 我的 kerb5.conf 是 [logging] default = FILE:/var/log/krb5libs...
我想我把这个发布到了错误的“姊妹网站”上,所以就在这里。 我在让 Kerberos(Heimdal 版本)与 OpenLDAP 很好地协同工作方面遇到了一些麻烦。kerberos 数据库存储在 LDAP 本身中。KDC 使用 SASL EXTERNAL 身份验证作为根访问容器ou。 我使用 在 LDAP 中创建了数据库kadmin -l,但是它不允许我在没有 -l 标志的情况下使用 kadmin: root@rds0:~# kadmin -l kadmin> list * krbtgt/REALM kadmin/changepw kadmin/a...
因此,我正在建立一个包含所有标准内容(文件、电子邮件等)的小型网络,并决定采用 Kerberos+LDAP 解决方案。关于 Heimdal 和 MIT 有什么想法或建议吗? 我以前用过 MIT,也用过 Heimdal,但我真的不知道使用其中一个而不使用另一个的真正原因。我只知道,在让整个 Heimdal 运行起来并拥有完整的用户数据库后,我宁愿运行 MIT。 如果任何其他信息有用,我很乐意提供。 ...
我们已经在有线网络上正确配置了 LDAP+Kerberos。 现在我们希望用户使用他们的正常凭证登录我们的 WiFi 网络。我找到了很多关于 LDAP+RADIUS 的 HOWTOS,但没有一个在包中提到 Kerberos。有人能告诉我一个关于将 RADIUS 与 Kerberos 集成的好的 HOWTO 吗?我只找到了这篇短文以及 Usenet 上的一些无信息量的帖子。 编辑:系统是 Gentoo Linux,使用 OpenLDAP 和 Heimdal (Kerberos)。WiFi 硬件是几个带有 OpenWRT 的 Linksys WRT54GL。...