Вопросы с тегом «kerberos»

Kerberos - это протокол аутентификации компьютерной сети, который позволяет узлам, обменивающимся данными по незащищенной сети, безопасно подтверждать свою идентичность друг другу. Его разработчики нацелены в первую очередь на модель клиент-сервер, и она обеспечивает взаимную аутентификацию - и пользователь, и сервер проверяют идентичность друг друга.

41
Зачем использовать Kerberos вместо NTLM в IIS?

Это то, на что я так и не смог ответить так, как мне нравится: Каково реальное преимущество использования аутентификации Kerberos в IIS вместо NTLM? Я видел, как многие люди действительно боролись за его настройку (включая меня), и я не смог найти вескую причину для его использования. Там должно...

28
Может ли кто-нибудь объяснить имена принципов обслуживания Windows (SPN) без упрощения?

Я несколько раз боролся с названиями сервисных принципов, и объяснений Microsoft просто недостаточно. Я настраиваю приложение IIS для работы в нашем домене, и похоже, что некоторые из моих проблем связаны с моей необходимостью настройки конкретных имен SPN для http в учетной записи службы Windows ,...

22
Как Kerberos работает с SSH?

Этот вопрос был перенесен из Super User, потому что на него можно ответить при сбое сервера. Мигрировал 8 лет назад . Предположим, у меня есть четыре компьютера: ноутбук, сервер1, сервер2, сервер Kerberos: Я вхожу, используя PuTTY или SSH от L до S1, давая свое имя пользователя / пароль С S1 я...

19
Как заставить / dev / random работать на виртуальной машине Ubuntu?

Очевидно, / dev / random основан на аппаратных прерываниях или похожих непредсказуемых аспектах физического оборудования. Поскольку виртуальные машины не имеют физического оборудования, работа cat /dev/randomна виртуальной машине ничего не дает. Я использую Ubuntu Server 11.04 в качестве хоста и...

17
Что такое SASL / GSSAPI?

Много раз я встречал выражение SASL / GSSAPI. Я искал в Google много раз, но я просто не понимаю, что это такое и как оно связано с Kerberos. У кого-нибудь есть простое объяснение по этому...

17
История безопасной аутентификации пользователей в squid

Однажды в Южной Америке были прекрасные теплые виртуальные джунгли, и там жил сервер Squid. Вот образ восприятия сети: <the Internet> | | A | B Users <---------> [squid-Server] <---> [LDAP-Server] Когда Usersзапросят доступ в интернет, squidспросят их имя и паспорт, подтвердят их...

16
IPA против только LDAP для Linux-боксов - ищем сравнение

Существует несколько (~ 30) блоков Linux (RHEL), и я ищу централизованное и простое управляемое решение, в основном для контроля учетных записей пользователей. Я знаком с LDAP и развернул пилотную версию IPA ver2 из Red Hat (== FreeIPA). Я понимаю, что теоретически IPA предоставляет решение,...

15
Получение Squid для аутентификации в Kerberos и Windows 2008/2003/7 / XP

Это то, что я настроил недавно, и это было довольно большой болью. Моя среда получала squid для невидимой аутентификации клиента Windows 7 на сервере Windows 2008. NTLM на самом деле не вариант, так как его использование требует изменения реестра для каждого клиента. MS рекомендует Kerberos начиная...

14
Центральная аутентификация / методы авторизации в Linux

У меня небольшая, но растущая сеть серверов Linux. В идеале мне бы хотелось иметь центральное место для контроля доступа пользователей, смены паролей и т. Д. Я много читал о серверах LDAP, но все еще не уверен в выборе лучшего метода аутентификации. Достаточно ли хорош TLS / SSL? Каковы...

13
Kinit не будет подключаться к серверу домена: область не является локальной для KDC при получении начальных учетных данных

Я устанавливаю среду тестирования, в которой клиенты Linux (Ubuntu 10.04) будут проходить аутентификацию на доменном сервере Windows Server 2008 R2. Я следую официальному руководству Ubuntu по настройке клиента Kerberos здесь: https://help.ubuntu.com/community/Samba/Kerberos , но у меня возникла...

12
Выясните, какой процесс / программа вызывает ошибку предварительной аутентификации Kerberos (код 0x18)

У нас есть учетная запись домена, которая заблокирована через один из двух серверов. Встроенный аудит только говорит нам об этом (заблокирован от SERVER1, SERVER2). Учетная запись блокируется в течение 5 минут, кажется, около 1 запроса в минуту. Первоначально я пытался запустить procmon (из...

12
Apache mod_auth_kerb и группы пользователей LDAP

Я рассматривал возможность развертывания mod_auth_kerbна наших внутренних веб-серверах для включения единого входа. Одна очевидная проблема, которую я вижу, состоит в том, что это подход «все или ничего», либо все пользователи вашего домена могут получить доступ к сайту, либо нет. Можно ли...

12
Почему MS SQL Server использует аутентификацию NTLM?

Windows Server 2008 R2. SQL Server 2008 R2 установлен. Служба MSSQL работает как локальная система. Полное доменное имя сервера: SQL01.domain.com. SQL01 присоединяется к домену Active Directory с именем domain.com. Ниже приводится вывод setspn: C:\> setspn -L sql01 ......

12
Интегрированная аутентификация Windows с HTTP-сервером Apache в Linux

Каков наилучший способ включить встроенную проверку подлинности Windows для веб-приложения PHP, работающего на Apache2 / Linux? В сети есть контроллер домена Windows, который следует использовать для аутентификации. Я нашел эти модули Apache: mod_auth_kerb mod_auth_ntlm_winbind Но эти модули...

11
Какой вкус Kerberos?

Поэтому я настраиваю небольшую сеть со всеми стандартными компонентами (файлы, электронная почта и т. Д.) И решил использовать решение Kerberos + LDAP. Любые идеи или рекомендации по Heimdal против MIT? Я использовал MIT и, по сути, Heimdal, но я действительно не знаю ни одной реальной причины для...

11
Как сказать mod_auth_kerb, чтобы он выполнял свою работу, несмотря на отсутствие «требовать действительного пользователя»

Я реализовал SSO-аутентификацию, используя mod_auth_kerb на Apache. Мой конфиг выглядит так: <Location /login/ > AuthType Kerberos AuthName "Kerberos Login" KrbMethodNegotiate on KrbAuthoritative on KrbVerifyKDC on KrbAuthRealm D.ETHZ.CH Krb5Keytab /etc/HTTP.keytab KrbSaveCredentials on...

11
Разрешения на создание spn

В соответствии с некоторыми документами, которые я прочитал, учетная запись службы для сервера SQL создаст имя участника-службы при запуске ядра базы данных, что позволит выполнять проверку подлинности Kerberos. Мне не удалось найти какую-либо документацию, в которой указано, какое разрешение...

10
Как я могу войти в контроллер домена, который не доверяет себе

У меня есть автономный контроллер домена Windows 2008 R2, который я восстановил из резервной копии. Оригинальный DC не в сети. Когда я вхожу с действительными учетными данными пользователя, я получаю сообщение об ошибке: «База данных безопасности на сервере не имеет учетной записи компьютера для...