タグ付けされた質問 「kerberos」

これは、私が好きなだけでなく、実際に答えることができなかった ものです。NTLMの代わりにIISでKerberos認証を使用することの本当の利点は何ですか？ 多くの人々が本当にそれをセットアップするのに苦労しているのを見てきました（私自身も含めて）、そしてそれを使う正当な理由を思い付くことができませんでした。ただし、いくつかの非常に重要な利点がなければなりません。

41 iis  kerberos  windows  ntlm 

私はサービスプリンシパル名に数回取り組んでいますが、Microsoftの説明だけでは不十分です。ドメインで動作するようにIISアプリケーションを構成していますが、私の問題の一部は、サイトをホストしているアプリケーションプールを実行しているWindowsサービスアカウントでhttp固有のSPNを構成する必要に関連しているようです。 これにより、サービスタイプ（MSSQL、http、host、termsrv、wsmanなど）、Kerberos認証、Active Directoryコンピューターアカウント（PCName $）、Windowsサービスアカウント、SPN間の関係が完全には得られないことに気付きました。 、およびサービスにアクセスするために使用しているユーザーアカウント。 誰かが説明を単純化しすぎずにWindowsサービスプリンシパル名（SPN）を説明してもらえますか？ 経験豊富なシステム管理者/開発者と共鳴する創造的な類推に対するボーナスポイント。

28 windows  windows-server-2008  security  active-directory  kerberos 

編集：これをQ＆Aとして再フォーマットしました。誰かがこれをコミュニティWikiから一般的な質問に変更できる場合、それもおそらくより適切です。 Active Directoryに対してOpenBSDを認証するにはどうすればよいですか？

24 active-directory  authentication  kerberos  openbsd 

この質問は、サーバー障害で回答できるため、スーパーユーザーから移行されました。 8年前に移行され ました。 ラップトップ、サーバー1、サーバー2、Kerberosサーバーの4つのコンピューターがあるとします。 LからS1にPuTTYまたはSSHを使用してログインし、ユーザー名/パスワードを入力します S1からS2にSSHで接続します。Kerberosは私を認証するため、パスワードは必要ありません 重要なすべてのSSHおよびKRB5プロトコル交換について説明します。「Lはユーザー名をS1に送信します」、「Kは...をS1に送信します」など。 （この質問はコミュニティで編集されることを意図しています。専門家でない読者のために改善してください。）

22 linux  ssh  authentication  kerberos 

どうやら、/ dev / randomは、ハードウェア割り込みまたは物理ハードウェアの同様の予測不可能な側面に基づいています。仮想マシンには物理ハードウェアがないためcat /dev/random、仮想マシン内で実行しても何も生成されません。libvirt / KVMを使用して、Ubuntu Server 11.04をホ​​ストおよびゲストとして使用しています。 VM内でKerberosをセットアップする必要がありますがkrb5_newrealm、システムが何も生成しないため、「ランダムデータのロード」が永遠にハングします。 誰もこれを回避する方法を知っていますか？ホストの/ dev / random（非常におしゃべり）をvmに渡して、vmがランダムデータを使用できるようにすることは可能ですか？ いくつかのソフトウェアの選択肢があることを読みましたが、それらは十分にランダムではないため、暗号学には適していません。 編集：vm上のcat / dev / randomは、非常にゆっくりと出力を生成するようです。「ランダムなデータをロード中」に約2時間待機して、レルムをセットアップしました。結局、それは継続するのに十分になりました。私はまだこれを加速する方法に興味があります。

19 ubuntu  virtual-machines  kerberos  random-number-generator 

むかしむかし、南アメリカに美しい温かい仮想ジャングルがあり、そこにイカのサーバーが住んでいました。ネットワークの知覚イメージは次のとおりです。 <the Internet> | | A | B Users <---------> [squid-Server] <---> [LDAP-Server] Usersインターネットへのアクセス要求時に、squid名前とパスポートを尋ね、認証をLDAP行います。LDAPが承認した場合は、許可します。 ユーザーとイカの間のパスでスニファーがパスポートを盗むまで、誰もが幸せでした[パスA]。この災害は、squidがBasic-Authenticationメソッドを使用したために発生しました。 ジャングルの人々は問題を解決するために集まった。NTLMメソッドの使用を提供するバニーもいます。木によって推奨されているDigest-Authentication間、ヘビが好まKerberosれた。 結局のところ、ジャングルの人々によって提供された多くのソリューションとすべてが混乱していた！ライオンはこの状況を終わらせることにしました。彼はソリューションのルールを叫んだ。 ソリューションを安全にしましょう！ ほとんどのブラウザーとソフトウェア（ダウンロードソフトウェアなど）でソリューションが機能するか ソリューションはシンプルで、他の巨大なサブシステム（Sambaサーバーなど）を必要としません。 メソッドが特別なドメインに依存してはならない。（例：Active Directory） それから、猿によって提供される非常に手ごろな包括的で賢い解決策は、彼をジャングルの新しい王にした！ あなたは解決策が何であったか推測できますか？ ヒント： 間のパスsquidとLDAPライオンで保護されており、解決策は、それを確保する必要がありません。 注：ストーリーが退屈で面倒な場合は申し訳ありませんが、そのほとんどは本物です！=） /~\/~\/~\ /\~/~\/~\/~\/~\ ((/~\/~\/~\/~\/~\)) (/~\/~\/~\/~\/~\/~\/~\) (//// ~ ~ \\\\) (\\\\( (0) (0) )////) (\\\\( __\-/__ )////) (\\\( /-\ )///) (\\\( (""""") )///) (\\\( \^^^/ …

17 security  authentication  ldap  squid  kerberos 

何度もSASL / GSSAPIという表現に出会いました。私は何度もGoogleを検索しましたが、Googleが何であり、Kerberosとどのように関係するのか、私にはわかりません。 これについて簡単な説明をしている人はいますか？

17 linux  kerberos  sasl 

Linux（RHEL）ボックスは数個（〜30個）しかなく、主に制御ユーザーアカウント用の集中管理された簡単な管理ソリューションを探しています。私はLDAPに精通しており、Red Hat（== FreeIPA）からIPA ver2のパイロットを展開しました。 理論上、IPAは「MS Windowsドメイン」のようなソリューションを提供することを理解していますが、一見するとそれほど簡単で成熟した製品ではありません[まだ]。SSOとは別に、IPAドメインでのみ使用でき、LDAPを使用している場合は使用できないセキュリティ機能はありますか？ IPAドメインのDNSおよびNTPの部分には興味がありません。

16 linux  ldap  kerberos  freeipa 

これは私が最近設定したもので、非常に大きな痛みでした。私の環境では、SquidにWindows 7クライアントをWindows 2008 Serverに対して見えないように認証させていました。NTLMを使用するには、各クライアントでレジストリを変更する必要があるため、実際にはオプションではありません。 MSはWindows 2000以来Kerberosを推奨してきたので、ついにプログラムを入手する時が来ました。 SquidメーリングリストのMarkus Moellerに感謝します。

15 windows-server-2008  active-directory  windows-7  squid  kerberos 

使用できるコマンドラインプログラムはありますか？

15 active-directory  kerberos  ntlm 

Linuxサーバーの小規模ながら成長しているネットワークがあります。理想的には、ユーザーアクセスを制御したり、パスワードを変更したりするための中心的な場所にしたいです。TLS / SSLで十分ですか？Kerberosの利点は何ですか？GSSAPIとは その他...これらのさまざまな方法の長所/短所を説明する明確なガイドは見つかりませんでした。助けてくれてありがとう。

14 linux  authentication  ldap  kerberos  authorization 

Linux（Ubuntu 10.04）クライアントがWindows Server 2008 R2ドメインサーバーに対して認証を行うテストベッド環境をセットアップしています。 ここではhttps://help.ubuntu.com/community/Samba/Kerberosの公式のUbuntuガイドに従ってKerberosクライアントを設定していますが、kinitコマンドを実行してドメインサーバーに接続するときに問題が発生しました。 私が実行しているコマンドは次のとおりkinit Administrator@DS.DOMAIN.COMです。このコマンドは次のエラーを返します。 Realm not local to KDC while getting initial credentials。残念ながら、この正確なエラーが発生したグーグル検索で他の人を見つけることができないので、その意味がわかりません。 クライアントはサーバーのホスト名をpingできるため、DNSサーバーはドメインサーバーを指します。 以下は私のkrb5.confファイルです。 [libdefaults] default = DS.DOMAIN.COM dns_lookup_realm = true dns_lookup_kdc true [realms] DS.DOMAIN.COM = { kdc = ds.domain.com:88 admin_server = ds.domain.com default_domain = domain.com } [domain_realm] .domain.com = DS.DOMAIN.COM domain.com = DS.DOMAIN.COM これらのエラーを修正するにはどうすればよいですか？私が得ることができるすべての助けに感謝します！

13 linux  active-directory  kerberos  kinit 

Windows Server 2008 R2。 SQL Server 2008 R2がインストールされています。 MSSQLサービスはローカルシステムとして実行されます。 サーバーのFQDNはSQL01.domain.comです。 SQL01は、domain.comという名前のActive Directoryドメインに参加しています。 以下は、setspnの出力です。 C:\> setspn -L sql01 ... MSSQLSvc/SQL01.domain.com:1433 MSSQLSvc/SQL01.domain.com WSMAN/SQL01.domain.com WSMAN/SQL01 TERMSRV/SQL01.domain.com TERMSRV/SQL01 RestrictedKrbHost/SQL01 RestrictedKrbHost/SQL01.domain.com HOST/SQL01.domain.com HOST/SQL01 次に、SQL Server Management Studioを起動して、SQL01に接続します。 次に、次のクエリを実行します。 SELECT auth_scheme FROM sys.dm_exec_connections WHERE session_id = @@spid そしてその結果がNTLMです。結果がKerberosではないのはなぜですか？SPNは、ローカルシステムアカウントを使用するために正しいようです。サーバーがクラスター内にないか、CNAMEを使用していません。

12 sql-server  kerberos  sql-server-2008-r2  spn 

Apache2 / Linuxで実行されているPHP Webアプリケーションで統合Windows認証を有効にする最良の方法は何ですか？ネットワークには、認証に使用されるWindowsドメインコントローラーがあります。 これらのApacheモジュールを見つけました。 mod_auth_kerb mod_auth_ntlm_winbind ただし、これらのモジュールは非常に古いようです（最終更新2007/2008）。これを行うためのより良い、より最新の方法はありますか？

12 linux  apache-2.2  kerberos  integrated-authentication 

mod_auth_kerbSSOを有効にするために、社内Webサーバーに展開することを検討しています。私が見ることができる1つの明らかな問題は、すべてのドメインユーザーがサイトにアクセスできるかどうかにかかわらず、オールオアナッシングアプローチであることです。 LDAPの特定のグループのグループメンバーシップを確認するmod_auth_kerbようなものと組み合わせることができmod_authnz_ldapますか？私はKrbAuthoritativeオプションがこれと何か関係があると推測していますか？ また、私が理解しているように、モジュールはユーザー名をusername@REALM認証後に設定しますが、もちろんディレクトリにはユーザーはユーザー名のみとして保存されます。さらに、tracなどの一部の内部サイトには、各ユーザー名にリンクされたユーザープロファイルが既にあります。これを解決する方法はありますか、おそらく認証後に何らかの方法で領域ビットを削除することによってですか？

12 apache-2.2  ldap  kerberos  single-sign-on