Kerberos - это протокол аутентификации компьютерной сети, который позволяет узлам, обменивающимся данными по незащищенной сети, безопасно подтверждать свою идентичность друг другу. Его разработчики нацелены в первую очередь на модель клиент-сервер, и она обеспечивает взаимную аутентификацию - и пользователь, и сервер проверяют идентичность друг друга.
Это то, на что я так и не смог ответить так, как мне нравится: Каково реальное преимущество использования аутентификации Kerberos в IIS вместо NTLM? Я видел, как многие люди действительно боролись за его настройку (включая меня), и я не смог найти вескую причину для его использования. Там должно...
Я несколько раз боролся с названиями сервисных принципов, и объяснений Microsoft просто недостаточно. Я настраиваю приложение IIS для работы в нашем домене, и похоже, что некоторые из моих проблем связаны с моей необходимостью настройки конкретных имен SPN для http в учетной записи службы Windows ,...
Изменить: переформатировал это как Q & A. Если кто-то может изменить это с вики-сообщества на типичный вопрос, это, вероятно, более уместно. Как я могу аутентифицировать OpenBSD в Active...
Этот вопрос был перенесен из Super User, потому что на него можно ответить при сбое сервера. Мигрировал 8 лет назад . Предположим, у меня есть четыре компьютера: ноутбук, сервер1, сервер2, сервер Kerberos: Я вхожу, используя PuTTY или SSH от L до S1, давая свое имя пользователя / пароль С S1 я...
Очевидно, / dev / random основан на аппаратных прерываниях или похожих непредсказуемых аспектах физического оборудования. Поскольку виртуальные машины не имеют физического оборудования, работа cat /dev/randomна виртуальной машине ничего не дает. Я использую Ubuntu Server 11.04 в качестве хоста и...
Много раз я встречал выражение SASL / GSSAPI. Я искал в Google много раз, но я просто не понимаю, что это такое и как оно связано с Kerberos. У кого-нибудь есть простое объяснение по этому...
Однажды в Южной Америке были прекрасные теплые виртуальные джунгли, и там жил сервер Squid. Вот образ восприятия сети: <the Internet> | | A | B Users <---------> [squid-Server] <---> [LDAP-Server] Когда Usersзапросят доступ в интернет, squidспросят их имя и паспорт, подтвердят их...
Существует несколько (~ 30) блоков Linux (RHEL), и я ищу централизованное и простое управляемое решение, в основном для контроля учетных записей пользователей. Я знаком с LDAP и развернул пилотную версию IPA ver2 из Red Hat (== FreeIPA). Я понимаю, что теоретически IPA предоставляет решение,...
Это то, что я настроил недавно, и это было довольно большой болью. Моя среда получала squid для невидимой аутентификации клиента Windows 7 на сервере Windows 2008. NTLM на самом деле не вариант, так как его использование требует изменения реестра для каждого клиента. MS рекомендует Kerberos начиная...
Есть ли программа командной строки, которую вы можете
У меня небольшая, но растущая сеть серверов Linux. В идеале мне бы хотелось иметь центральное место для контроля доступа пользователей, смены паролей и т. Д. Я много читал о серверах LDAP, но все еще не уверен в выборе лучшего метода аутентификации. Достаточно ли хорош TLS / SSL? Каковы...
Я устанавливаю среду тестирования, в которой клиенты Linux (Ubuntu 10.04) будут проходить аутентификацию на доменном сервере Windows Server 2008 R2. Я следую официальному руководству Ubuntu по настройке клиента Kerberos здесь: https://help.ubuntu.com/community/Samba/Kerberos , но у меня возникла...
У нас есть учетная запись домена, которая заблокирована через один из двух серверов. Встроенный аудит только говорит нам об этом (заблокирован от SERVER1, SERVER2). Учетная запись блокируется в течение 5 минут, кажется, около 1 запроса в минуту. Первоначально я пытался запустить procmon (из...
Я рассматривал возможность развертывания mod_auth_kerbна наших внутренних веб-серверах для включения единого входа. Одна очевидная проблема, которую я вижу, состоит в том, что это подход «все или ничего», либо все пользователи вашего домена могут получить доступ к сайту, либо нет. Можно ли...
Windows Server 2008 R2. SQL Server 2008 R2 установлен. Служба MSSQL работает как локальная система. Полное доменное имя сервера: SQL01.domain.com. SQL01 присоединяется к домену Active Directory с именем domain.com. Ниже приводится вывод setspn: C:\> setspn -L sql01 ......
Каков наилучший способ включить встроенную проверку подлинности Windows для веб-приложения PHP, работающего на Apache2 / Linux? В сети есть контроллер домена Windows, который следует использовать для аутентификации. Я нашел эти модули Apache: mod_auth_kerb mod_auth_ntlm_winbind Но эти модули...
Поэтому я настраиваю небольшую сеть со всеми стандартными компонентами (файлы, электронная почта и т. Д.) И решил использовать решение Kerberos + LDAP. Любые идеи или рекомендации по Heimdal против MIT? Я использовал MIT и, по сути, Heimdal, но я действительно не знаю ни одной реальной причины для...
Я реализовал SSO-аутентификацию, используя mod_auth_kerb на Apache. Мой конфиг выглядит так: <Location /login/ > AuthType Kerberos AuthName "Kerberos Login" KrbMethodNegotiate on KrbAuthoritative on KrbVerifyKDC on KrbAuthRealm D.ETHZ.CH Krb5Keytab /etc/HTTP.keytab KrbSaveCredentials on...
В соответствии с некоторыми документами, которые я прочитал, учетная запись службы для сервера SQL создаст имя участника-службы при запуске ядра базы данных, что позволит выполнять проверку подлинности Kerberos. Мне не удалось найти какую-либо документацию, в которой указано, какое разрешение...
У меня есть автономный контроллер домена Windows 2008 R2, который я восстановил из резервной копии. Оригинальный DC не в сети. Когда я вхожу с действительными учетными данными пользователя, я получаю сообщение об ошибке: «База данных безопасности на сервере не имеет учетной записи компьютера для...