我希望 Alfresco 使用 MIT Kerberos 的 SSO 对用户进行身份验证。 什么身份验证链我应该用吗? 我试过了,authentication.chain=kerberos1:kerberos但是没有成功。 基于这个答案我还设置了一个包含与 MIT Kerberos 相同用户的 LDAP 服务器,并尝试使用authentication.chain=kerberos1:kerberos;ldap1:ldap,但那也不起作用。 重要内容如下ldap1/ldap-authentication.properties: ldap.authen...
当我运行 kerberos 并且所有连接都已修复时,我在 ubuntu 客户端上执行 kinit 操作时遇到问题,但我仍然无法在客户端计算机上获取票证。我希望有人指导我如何解决这个问题。 root@ubuntunorbert:/etc# uname -a Linux ubuntunorbert 6.5.0-28-generic #29-Ubuntu SMP PREEMPT_DYNAMIC Thu Mar 28 23:46:48 UTC 2024 x86_64 x86_64 x86_64 GNU/Linux clientnorbert@clientnorb...
输入密码后无法使用 kadmin 命令。list_principals 和 klist 返回输出“true”,但没有有关票证的信息。 关于票证的信息和在 kadmin 界面中输入命令的选项在哪里? :~$ kadmin Authenticating as principal norbert/admin@ubunturealm with password. kadmin: true while initializing kadmin interface :~$ klist klist: true :~$ kinit kinit: true while gett...
我们使用的是 Oracle Linux 7.9,它是 Kerberos 领域的一部分。 我希望帐户foo能够执行(无需任何密码)一个命令以已获取的barKerberos 凭据的帐户身份进行操作bar,但不授予fooshell 访问权限,以便bar在交互式会话中完全模拟帐户。 我该如何正确地实现这一点?我看到她的一个选择是 一个包装器脚本,在从 keytab 文件执行 kinit 后执行所需的命令,bar以及 允许执行包装脚本的 sudo 规则foo。 我觉得这种方法不太好。有什么合适的解决方案吗? ...
我有一台采用 Kerberos 身份验证的 NFS 服务器(Debian 11)。如果我想在重启后首次在客户端上挂载共享,则需要 10-12 秒。如果我随后从同一台服务器挂载另一个共享,它几乎可以立即工作。 NFS 导出: /data/bilder 192.168.1.0/24(sec=krb5p,rw,sync,wdelay,no_subtree_check,root_squash,no_all_squash) /data/video 192.168.1.0/24(sec=krb5p,rw,sync,wdelay,no_subtree_chec...
我正在尝试使用以下命令在 Samba AD DC 中为其他 kerberos5(MIT)域添加域信任帐户: net rpc trustdom add <域名> -UAdministrator%<管理员密码> 发生的情况是,该帐户已创建到 Samba ldap 数据库中,并且我可以在 Windows 11 机器中看到它。 该命令给出错误消息: 无法设置信任帐户密码:NT_STATUS_ACCESS_DENIED 使用命令 pdbedit -Lw <account_name>$ 我看到: <帐户名称>$:30000...
在我管理的系统中,除了人类用户帐户之外,我们还有许多与角色、软件和特定数据相关的帐户。 通过使用.k5login主目录中的文件,可以使用 ssh 以不同用户身份连接到不同的计算机。使用 freeipa 可以添加 sudo 规则,以便特定组的成员可以更改为特定角色帐户。但我想直接使用 ssh 启用相同的功能。这在许多情况下更方便,尤其是在涉及 X 转发之类的事情时。是否可以.k5login通过 freeipa 将文件中的数据直接存储在 LDAP 中? 我也会考虑其他可能的解决方案,比如从被允许访问的用户的公钥组成 SSH authorized_keys(似乎在...
我有一台使用 Kerberos5 进行身份验证的 OpenLDAP 服务器,在 Linux/Unix/Windows 环境中,我可以毫无问题地登录。LDAP 服务器配置为使用 GSSAPI 或 PLAIN,通过 SASL2 将密码传递给针对 KERBEROS 进行身份验证的 PAM。这是因为某些服务器软件尚未直接支持 GSSAPI。在 macOS(最新的 Monterey)上,我能够获取用户的 ID 并执行ldapsearch(GSSAPI)进入 LDAP 服务器。在 ssh 中,我已启用 GSSAPI 登录并清除凭据,并将 PAM 身份验证设置为是。 看起...
我已下载组策略模板并将其复制到适当的位置。 我gpedit.msc已经设置了: Computer Configuration > Administrative Templates > Mozilla > Firefox > Authentication > SPNEGO 包含所需的域名,当我打开 about:config 时可以在 Firefox 中看到这一点。 但是我还需要设置network.auth.use-sspi,false但无法确定哪个组策略设置可以做到这一点。有其他人可以配置这个吗? ...
测试设置: 在 Windows 10 计算机上运行并加入活动目录的 Weblogic 12.2.1.4 JVM 1.8.0_281 Java Web 应用程序使用 Java GSSAPI 通过 Samba 访问文件共享,本质上使用的代码来自https://github.com/hierynomus/smbj/issues/304#issuecomment-375603115 这是一台开发人员机器 - Java 系统属性“user.name”显示开发人员的 Windows 用户名 运行 Red Hat Enterprise Linux 7 的 Linu...
最近我更改了 Linux 客户端上的 krb5.conf 文件以使用: [libdefaults] rdns = false 这些客户端仍可成功使用 kerberos 身份验证连接到其他 Linux 网络服务器。但是,现在它们与 IIS 网络服务器的连接中断了。我看到的一个示例错误是: < HTTP/1.1 401 Unauthorized < Content-Type: text/html < Server: Microsoft-IIS/8.5 * gss_init_sec_context() failed: Server not fo...
我在使用 Kerberos 和 Ubuntu 20.04 时遇到了麻烦。 我正在运行 FreeIPA 服务器,但由于它可以在我的 Centos 机器上运行,所以我猜这是一个客户端问题。 大目标是拥有一个用于多种服务的 SSO 系统。大多数情况下,它都能按预期工作,但有一件事对我来说行不通: 让 automount/autofs 接受我的 Kerberos 配置。一个主要问题是,autofs 无法读取KRB5CCNAME环境变量。它总是使用 libdefault,如果 Ubuntu 也能这样做,那就没问题了。但是,出于某种原因,无论我怎么尝试,Ubuntu 都...
我试图弄清楚为什么我的票的可续期期限只有 0 天而不是我指定的 7 天。 我尝试在 krb5.conf 和 kdc.conf 中同时设置max_renewable_life(如另一个问题中所示)以及renew_lifetime7 天(7d和856800),但没有奏效。我已将它们设置在[realms](krb5/kdc) 和[libdefaults](krb5) 下,但守护进程似乎忽略了此设置。ticket_lifetime但是 有效。 我运行了以下命令(删除了不必要的输出): $ kinit -r 20m -l 10m PRINCIPAL $ klis...
针对 Kerberos 的身份验证和针对 LDAP 目录的授权对我来说是可行的。现在我正在寻找使用 Debian Buster 的客户端设置ssd 的。 我开始使用 nss-pam-ldapd 进行 LDAP 身份验证使用OpenLDAP 服务器上的 SASL 代理授权和使用以下方法缓存 OpenLDAP 凭证ccreds。但由于我始终使用systemd以及它的环境,传统的设置不太适合它,我遇到了一些问题systemd-已解决和...一起切换器和/或聚丙烯酰胺如图所示有关针对 OpenLDAP 服务器的 NSS 查询的“更多详细信息”部分。 因此我看了s...
是否有人知道任何现有文档、HOWTO、SE 问题,甚至是博客文章,其中展示了从 Heimdal 到 MIT KDC 的 Kerberos 数据库迁移示例?有没有人自己做过这个操作?如果有,你发现任何陷阱了吗,还是它只是起作用了? H5l.org 已关闭,因此我正在寻找回程路线;我看到了以前一直在那里的 MIT 到 Heimdal 迁移文档 —— 现在重新阅读它们,它们暗示你应该能够双向进行,因此还有希望:http://web.archive.org/web/20160610142834/http://www.h5l.org/manual/HEAD/info...