我已经用 C# 实现了一个使用 GSS/SPNEGO 身份验证的 RPC 客户端。我正在尝试连接到服务器上的标准/Active Directory 服务(DRSAPI、SAMR 等)。除了使用 Kerberos 身份验证外,身份验证工作正常,我已经努力了 1 周,试图解决错误。用例如下: Samba NTLM => 确定 Samba Kerberos => 确定 Windows NTLM => 确定 Windows (2012、2016) Kerberos => KO 尝试使用 Kerberos 时,对 KDC 的身份验证似乎工作正常...
我使用一个 KDC 来管理两个不同数据库中的两个领域(例如krb5kdc -p 2001 -r REALM1 -p 2002 -r REALM2),如何配置它们以相互信任?我知道在两个不同的 KDC 中(例如add_principal krbtgt/REALM1@REALM2)的步骤。它们可以以相同的方式配置吗?或者根本不需要配置,它们已经在同一个 KDC 服务中相互信任? 如果我有两个领域不同的 Hadoop 集群,哪种方式更好?一个 KDC 还是两个 KDC? ...
一切尽在标题中:) 我必须监控 Windows 客户端/服务器。 目前我使用中继 Windows 服务器通过 powershell 脚本监控远程客户端。我希望改变这种状况,使用 Linux Redhat 9 来监控 Windows。 我们在 AD 中有一个技术帐户,该帐户位于每个远程主机的本地管理员组中,我们使用该帐户在 Windows 上进行 powershell 会话的身份验证。 Linux 上有 powershell,能够使用它真是太酷了,因为我们使用 AD 帐户,所以我认为我们必须配置一个 kerberos 东西,希望在 DC 上不要配置太多(因为是...
我想使用 kerberos 身份验证在 Linux 上挂载两个资源。在这两种情况下,执行挂载的用户都是 root。但我想使用来自用户 1 的 kerberos 票证挂载资源 1,使用来自用户 2 的另一个 kerberos 票证挂载资源 2。 Linux 系统不在域中。发行版是 Rocky Linux。 我曾尝试通过修改环境变量 krb5ccname 来进行挂载,但 cifs.upcall 似乎忽略了它的值。 挂载必须在系统启动时完成,如果可以使用 fstab 完成则更好,如果不行则使用脚本。 经过多次测试,我按照以下步骤成功将这两个资源挂载到不同的用户手中...
尝试了好几个小时才得到这个(甚至没有必要,但我不知何故迷失在“区域”中并决心这样做)在没有关于整个 AD 基础设施的任何线索的情况下工作,现在我已经没有主意了。 我有一台工作用的 win10 机器,它已注册到我们的 Active Directory 域,因此已经注册。但是,由于我更喜欢在 Linux 机器上工作,所以我在虚拟机内运行 Linux,并且基本上每天都使用它。我只想使用一个简单的用例,让 Linux 用户与我的 AD 用户同步,就像在 Windows 中一样。 我已经设置好了,这样域名在 Linux 中就正确了,我可以用 realm disco...
我通过 yum 命令在 CentOS 7 上安装了 Kerberos。 yum install krb5-server krb5-libs krb5-workstation pam_krb5 -y 我的情况如下: 有 1 个 KDC。 它有 2 个服务服务器。 KDC的krb5.conf文件设置如下。 # Configuration snippets may be placed in this directory as well includedir /etc/krb5.conf.d/ [logging] default = FILE:/var/l...
我有一台 Ubuntu 18.04 计算机,我通过 openafs 和 kinit (krb5) 连接到 AFS 文件系统(作为客户端),由我的公司托管(基于 MIT Kerberos)。这很有效,这里是日志: KRB5_TRACE=/dev/stdout kinit -V username Using default cache: /tmp/krb5cc_5864_3P0GQm Using principal: [email protected] Getting initial credentials for [email protec...
我必须从启动时开始在 SLES 12 系统上使用 Kerberos 自动挂载 Samba 共享。问题是,在尝试自动挂载共享时不会自动请求 Kerberos 票证,因此我不得不使用 systemd-mounts 来解决问题。 但让我更好地解释一下我的情况: 首先,手动请求 Kerberos 票证并挂载共享完全没问题: $ kinit [email protected] $ sudo mount -vt cifs "//fileserver.example.com" -o username=service-user,cruid=linuxuser,se...
%20%E5%8F%91%E9%80%81%E5%AE%89%E5%85%A8%E4%BA%8B%E4%BB%B6.png)
两周以来,我一直在尝试解决一个问题,但一直没有成功。所以我将把它分解成几个小问题,希望能够了解这个过程并找到解决方案。 我们有一个 Windows AD 域,其中有一些 Linux(Debian)客户端通过 sssd 加入。加入域的 Linux 客户端向 DC 服务器发送安全事件(事件 ID:4624、4768、4769、4770、4634、4661、4623)。所有事件都在 AD 上填充。因此设备正在通信。我们的问题在于这些事件中的某些值(字段)(例如,TargetUserName 显示主机名而不是用户名 - 我们需要它显示用户名,以便我们的 SSO 代理...
当我运行 mount 命令时,我能够 connect/ls 到共享,直到出现似乎是票证续订的时间。然后我得到主机已关闭。 我查看了所有建议的类似问题并搜索了网络。请参阅“下面的一些背景信息” 我似乎无法在日志/日记中找到任何可以告诉我发生了什么事或何时发生的信息。 我的环境是:AWS Amazon Linux 2 AWS Active Directory,用户设置为永不过期 AWS FSx 共享 在 Linux 服务器上,我运行着 k5start、一个 fstab 文件和一个 krb5.conf 文件(见下文) 简单介绍一下背景,我在另一个环境中使用过这个,...
我已按照本指南使用 LDAP 后端配置了 Kerberos:https://ubuntu.com/server/docs/service-kerberos-with-openldap-backend 但是,我的辅助 KDC 没有启动;journalctl报告: Sep 13 11:57:34 node2 systemd[1]: Started Kerberos 5 KDC. Sep 13 11:57:34 node2 krb5kdc[2667437]: krb5kdc: cannot initialize realm EXAMPLE.COM - see lo...
因此,我一直在研究 Kerberos 的工作原理以及可以发起/防御哪些攻击。我读到过的一个漏洞是“传递票证”攻击,例如,域管理员在受感染的用户机器上留下了票证格兰宁票证,可以将其转储/恢复(通过 mimikatz?)。我确实理解这个概念,但不太理解为什么这种方法有效。现在我的问题是:域管理员的 TGT 对攻击者有什么好处?或者任何用户的 TGT?据我所知, 这温度计使用加密TGS 的密钥(攻击者没有),你不能使用它来访问资源,只能从 TGS 请求服务票证 这服务单与身份验证器消息一起返回给客户端,其中包含服务会话密钥客户端需要与所请求的服务成功通信 但...
我需要放弃基本身份验证,开始使用另一种方式来执行我的 powershell 脚本。问题是我无法让它工作。我对此很菜鸟,所以我不知道下一步该怎么做。 我通常的做法是: enter-pssession servernameA 现在它会引发一个错误: Connecting to remote server servernameA failed with the following error message : The client cannot c onnect to the destination specified in the request. Veri...
我现在有一个 Kerberos 领域,如MYDOMAIN.CH,一个管理服务器和一个主体root/admin,以及领域主密码和root/admin主体密码。现在我想使用 Postfix 和 Dovecot 设置 Kerberos 身份验证,以便让客户端使用 Kerberos 进行身份验证,并以经过身份验证的方式发送/接收电子邮件。 在提出这个问题之前,我已经在 Google 上进行了一些研究,但不幸的是没有找到任何结果(并且 RedHat 的付费墙是无法绕过的)。 为了实现此目标,我需要调整哪些配置,尤其是配置文件中的身份验证配置?此外,我需要使用像priv...