使用集中式身份验证来对抗 FreeIPA 效果很好。为了在使用来自 jumphosts 的 ssh、scp 等时使用 Kerberos SSO,用户必须先使用 kinit 启动他们的 Kerberos 票证。我已将其添加到用户的 bashrc 中,以便提示他们输入密码,因为所有客户端均未绑定到 IPA 领域。 但是,票证会在 24 小时后过期。因此,如果用户尝试使用过期的票证进行 ssh 或 scp,SSO 会失败,并提示他们输入密码。用户忘记了 kinit,所以我想知道我是否可以做些什么让系统在回退到基于 pam 的密码身份验证之前尝试更新 Kerbero...
我不确定我是否理解什么时候&为什么需要 mapUser。 当你生成密钥表和密码您可以将服务主体映射到具有 的用户mapUser。然后,您可以kinit使用该密钥表从另一台计算机访问该服务。 当尝试同样的事情时工具在 Linux 机器上,这是不可能的。您只需生成一个密钥表对于用户和基尼特对于用户来说。 SPN 设置如下: 服务用户:SQLservice 服务政策组 来自 OU SQLusers 的用户:sqluser SPN -S MYSSQLSvc/SQLservice.mynetwork.net SQL用户 我曾遵循过一份指南,其中解释...
我有一个加入 Active Directory 2008 R2 域的 Ubuntu 桌面客户端。 我需要在 Linux 上使用“kinit”命令来确定用户密码何时过期。这是我的做法,因为系统上运行着其他脚本,所以不能/不想改变这种方法。 但是,据我所知,kinit 返回的密码过期警告为 7 天或更短。我可以改变这种态度吗?是什么让 kinit 返回的密码过期警告消息为 7 天或更短的时间跨度? ...
尝试使 Windows Server 2016 Active Directory + Kerberos 和 Java OpenJDK 8 kinit 获得票证授予票证返回KrbException:标识符与预期值不匹配(906) 我有两台 Azure VM,我想使用 Windows Server 2016 获取 kinit 票证授予票证,一台在 10.0.1.4,另一台在 10.0.1.7。 这10.0.1.4VM 包含具有 LDAP 和 DNS 服务器的 Active Directory。计算机名称为操作系统。因此 Active Directory 域控制器...
目标 我正在 CentOS 8.2 下的 Active Directory 环境中设置多用户 CIFS 挂载。存储服务器支持 SMB3.1.1 协议。 先决条件 我可以轻松地将系统集成到 Active Directory,并且我已经编辑了 SSSD(/etc/sssd/sssd.conf)和realm配置以匹配偏好和需求。 结果: Active Directory 用户可以登录 我还创建了一个专用用户,我将在这篇文章中将其命名为“蒙托里诺“。蒙托里诺具有挂载 CIFS 共享所需的共享权限 (RO) 和 NTFS 权限(遍历根文件夹)。标识信息存储在文件中...
我正在尝试对 kbr5p nfs 挂载的主机进行身份验证,其中 Microsoft active directory 充当 Kerberos 服务器。 sudo kinit -k -t /etc/krb5.keytab host/[email protected] kinit: Client 'host/[email protected]' not found in Kerberos database while getting initial credentials 但在 Active Directory 中以下命令有效 PS ...
我正在通过 SSH 连接到 RHEL6 服务器。 当我通过 SSH 进入盒子时,系统要求我输入 Linux 用户名/密码(这是一个共享帐户) 用户名:mySharedLinuxUser mySharedLinuxUser 的密码:password123 然后系统提示我再次我的个人员工编号和个人网络密码: 域名用户名:111222 111222@defaultDomain 的密码:my$uper$ecurePasswordHere 我相信后者是用 Kerberos 完成的(我看到了对“kinit”的引用,我了解到这是 kerberos 的事情...
我正在尝试使用 keytab 连接到 kerberos 服务器: kinit -k -t securitytest.keytab [email protected] Exception: ICMP Port Unreachable java.net.PortUnreachableException: ICMP Port Unreachable at java.base/java.net.DualStackPlainDatagramSocketImpl.socketReceiveOrPeekData(Native Method) ...
最后的问题 关于我的环境 我已在两种不同的环境中尝试过:(i)在 Active Directory(Microsoft)域中注册的 Linux Ubuntu 16.04LTS 服务器和(ii)在 FreeIPA Realm 中注册的 Linux Ubuntu 16.04LTS 服务器。 Krb5 二进制版本: $ strings libkrb5.so | grep BRAND KRB5_BRAND: krb5-1.13.2-final 1.13.2 2015050 我喜欢做什么 我正在尝试使用堪萨斯州立大学命令登录当前主机(auhdemo4.a...
我必须在服务器终端中手动更新票据,以便用户能够访问他们的邮件帐户。我使用 Kerberos 作为登录身份验证来访问本地邮件服务器。我的本地计算机的名称为遠端.X.pt并向以下域名提供邮件陣陣(@X.pt) 正在我的 ISP 邮件服务器中使用。目前我只能从我的邮件客户端发送邮件,但我还不知道如何接收邮件;但我相信问题可能与此无关。 票证已超时,用户无法再使用他们的帐户。 我不明白的另一件基本事情是,难道不应该每人一张票吗 - 如果没有,那么为什么当我kinit为多个用户办理时,klist,我只看到最后一张票 - 或者每个用户都有一个凭证,而一张票可以用于多...
目前,我们正在使用一种非常糟糕的服务器访问模型。每个人都通过 ssh 登录到同一个 unix 用户。我们有几个密钥表供每个人使用,通常使用同一个密钥表。但是有时有人需要使用其他密钥表之一。但 kinit 会将票证缓存覆盖到新主体。因此,我想知道是否可以制作一个仅在当前会话中有效且不影响同一 unix 用户的其他会话的 kinit? 感谢您的帮助! ...
我有一个 CentOS 6.4,是别人不久前设置的。 管理员不确定他是如何安装它的,但它与 Kerberos 配合得很好。我使用 authconfig 设置域和 Kerberos 设置。 我ktpass在 Windows 域控制器上使用它并传输了 keytab。 kinit -k运行正常,我可以将它用于 nfsv4 Kerberos 挂载。 这一切都非常标准。 我的问题是,我的一个客户安装了 6.7 和基础安装,我们无法正常kinit工作。 我们设置了这些 RPM。 $ yum install krb5-libs krb5-workstation...
我正在将我的机器设置为 kerberos 客户端。我对 kerberos 配置文件如何实际生效以及如何清除其影响存在疑问。我的实验如下。 步骤 1,无需编辑文件/etc/krb5.conf,我输入内容kinit并得到了我所期望的结果。 aaaa@bbbb:~> kinit kinit(v5): Configuration file does not specify default realm when parsing name aaaa 第 2 步,我编辑/etc/krb5.conf了有效的 kerberos 服务器信息,然后kinit再次输入...
我有一个用户:[email protected]作为主体和下一个 krb5.conf: [libdefaults] default_realm = EXEMPLE.COM default_tkt_enctypes = arcfour-hmac-md5 default_tgs_enctypes = arcfour-hmac-md5 permitted_enctypes = arcfour-hmac-md5 [realms] EXEMPLE.COM = { kdc = DC....
我有一台机器安装了 Samba 4 AD,另一台机器作为客户端。运行两天后,突然kinit客户端停止工作。原因很神秘。它无法解析服务器的名称。它从 SRV 记录中获取名称bolbro.barbucha.local,但无法解析其 IP。 $ KRB5_TRACE=/dev/stdout kinit test [4841] 1389479680.105645: Getting initial credentials for [email protected] [4841] 1389479680.106009: Sending request (172...