タグ付けされた質問 「kerberos」

2つのサーバーのうちの1つを介してロックアウトされているドメインアカウントがあります。ビルトイン監査はそれだけを教えてくれます（SERVER1、SERVER2からロックアウト）。 アカウントは5分以内にロックアウトされ、1分あたり約1リクエストのようです。 私は最初に（sysinternalsから）procmonを実行して、アカウントのロックを解除した後に新しいPROCESS STARTが生成されているかどうかを確認しようとしました。疑わしいものは何も出てきません。私のワークステーション上でprocmonのを実行し、UACシェル（conscent.exe）に上昇した後のことがスタックからのように思えるntdll.dllとは、rpct4.dllあなたが（ないように注意してください）ADに対してのauthしようとすると、呼び出されます。 DCへの認証要求を引き起こしているプロセスを絞り込む方法はありますか？これは常に同じDCであるため、そのサイト内のサーバーである必要があります。私はwiresharkでコールを探すこともできますが、それが実際にそれをトリガーしているプロセスを絞り込むことはできません。 そのドメインアカウントを使用しているサービス、ドライブマッピング、またはスケジュールされたタスクもないため、ドメインの資格情報が格納されている必要があります。どのサーバーにも、そのドメインアカウントで開いているRDPセッションはありません（確認しました）。 その他のメモ はい、「成功/失敗」ログオン監査は問題のDCで有効になっています。実際にアカウントがロックアウトされるまで、失敗イベントはログに記録されません。 さらにショー掘りLSASS.exeになりKERBEROS、アカウントのロックが解除されると、問題のDCへの呼び出しを。これは、（一般的には）vpxd.exevCenterプロセスであるJavaによって呼び出されるようです。しかし、他の "server2"を見ると、アカウントのロックアウトが（また）発生する可能性があり、への呼び出しが表示さlsass.exeれず、apacheプロセスのみが生成されています。この2つの関係は、SERVER2がSERVER1のvSphereクラスターの一部である（server1がvSphere OSである）ことだけです。 DCのエラー つまり、ADから言われるのは、認証前のKerberosエラーだということだけです。klist念のため、確認したところチケットはなく、とにかくフラッシュしました。このkerberosエラーの原因はまだわかりません。 Index : 202500597 EntryType : FailureAudit InstanceId : 4771 Message : Kerberos pre-authentication failed. Account Information: Security ID: S-1-5-21-3381590919-2827822839-3002869273-5848 Account Name: USER Service Information: Service Name: krbtgt/DOMAIN Network Information: Client Address: ::ffff:x.x.x.x Client Port: 61450 Additional Information: …

12 windows  windows-server-2008  active-directory  kerberos 

だから私はすべての標準的なもの（ファイル、電子メールなど）で小さなネットワークを設定しているので、Kerberos + LDAPソリューションを採用することにしました。Heimdal vs. MITに関するアイデアや推奨事項はありますか？ 私は以前にMITを使用しましたが、接線的にHeimdalを使用しましたが、一方を他方よりも使用する本当の理由は本当に知りません。私は、Heimdal全体を完全なユーザーデータベースで実行した後、MITを実行することに気付かないことを望んでいることを知っています。 他に役立つ情報があれば、喜んでお知らせします。

11 kerberos  mitkerberos  heimdal 

Apacheでmod_auth_kerbを使用してSSO認証を実装しました。私の設定は次のようになります： <Location /login/ > AuthType Kerberos AuthName "Kerberos Login" KrbMethodNegotiate on KrbAuthoritative on KrbVerifyKDC on KrbAuthRealm D.ETHZ.CH Krb5Keytab /etc/HTTP.keytab KrbSaveCredentials on RequestHeader set KERBEROS_USER %{REMOTE_USER}s </Location> 私の問題は、なしrequire valid-userではmod_auth_kerbがユーザーを認証しようとさえせず、最終的にはであるというKERBEROS_USERこと(null)です。を追加するrequire valid-userと、ブラウザがサポートしている場合、ユーザーは自動的に認証されますが、ブラウザがKerberosネゴシエートをサポートしていない場合は、lyいモーダルログインフォーム（HTTP基本認証）が表示されます。 私が達成したいのは、ユーザーが/login/にアクセスすると、mod_auth_kerbがKerberos Negotiateを介してユーザーを認証しようとすることです。それが失敗した場合、通常のHTMLログインフォームがユーザーに表示されます。 Apache / mod_auth_kerbをそのような方法で構成することは可能ですか？

11 apache-2.2  kerberos  mod-auth-kerb 

いくつかのドキュメントによると、SQLサーバーのサービスアカウントを読んだところ、データベースエンジンの起動時にSPNが作成され、Kerberos認証が可能になります。SPNを作成するためにアカウントが必要とする権限を示すドキュメントを見つけることができませんでした。それでは、SPNを作成するために、アカウントにはどのようなアクセス許可が必要ですか（可能な場合はドメイン管理者を除外する）。

11 active-directory  permissions  kerberos  spn 

少し複雑なIDAM設定があります。 つまり、エンドユーザーのマシンとブラウザは親ADのあるネットワークにあり、Jettyベースのアプリケーションとそれが通信できるAD（ローカルAD）は別のネットワークにあります。 2つのADの間には双方向の信頼があります。親ネットワークのブラウザは、信頼済みサイトにローカルドメインを持っています。 Jettyサーバーの設定は次のとおりです。 ローカルADのプリンシパルに対して生成されたキータブファイルを使用する ローカルADで定義されたユーザーの下でWindowsサービスとして実行されている レルム、ドメイン-レルムマッピング、およびkdcは、ローカルADのドメインに対して定義されます それはspnegoを使用します-isInitiatorはfalseに設定されます。doNotPromptはtrueです。storeKeyはtrueです 問題は： テストとして、（すなわちローカルADにリンクされている）、ローカルネットワーク内のブラウザからサーバーにアクセスすると動作します私は、HTTPトラフィックに正しいKerberosのネゴシエーションを見ることができ、Kerberosのデバッグ情報がログに表示され、ユーザーは自動的に署名されています- 。鮮やかさ。 ただし、親ネットワーク内のブラウザーからサーバーにアクセスする（これは、ユーザーが操作する方法です）ことができません。ブラウザは401 unauthを取得しますが、資格情報を要求します。資格情報を入力すると、空白の画面が表示されます。次に、アドレスバーをクリックしてEnterキーを押すと、資格情報がリモートADとローカルADのどちらであるかに応じて、次のいずれかが行われます。 ローカルADの資格情報は、ログに最初からKerberosを使用して正常にログインします（GET要求、401非認証応答、Kerberosヘッダー要求など） リモートADの資格情報がログインしていない（GETリクエスト、401 UNAUTH応答は、何がNTLMヘッダーのようになります。Authorization: Negotiate <60 or so random chars>） いずれにせよ、それが促しているという事実は間違っています！ これらの症状の説明はありますか？私たちが持っているセットアップは私たちが望むことをすることができますか？ 上記の説明については何が間違っている可能性があるかについては、私が行ったように、Jettyサーバーに関して述べた構成はすべて正確である必要があります。詳細をお知らせいたします。ADまたは親ネットワークブラウザーのいずれかに関する構成は疑わしい可能性があります。これは、私の制御下になく、自分で確認するのではなく、報告された構成を持っているためです。

10 active-directory  kerberos  jetty  spnego 

Webアプリケーション（ホスト名：service.domain.com）があり、Kerberos認証を使用して、Windowsドメインにログインしているユーザーを識別したいと考えています。Microsoft AD（Windows Server 2008 R2）はKerberosサービスを提供しています。 このサービスは、Spring Security Kerberos拡張ライブラリを使用してSPNEGO / Kerberosプロトコルを実装するJava Webアプリケーションです。ADでkeytabファイルを作成しました。これには、Webアプリケーションを使用してクライアントブラウザーから送信されるKerberosチケットを認証するのに十分な共有シークレットが含まれています。 私の質問は、サービスホスト（service.domain.com）がKDC（kdc.domain.com）へのファイアウォールアクセス（TCP / UDP 88）を持っている必要があるか、またはサービスホストがKerberosチケットと認証を提供しますか？

10 active-directory  firewall  kerberos  springframework 

現在、Kerberosをサポートして、RHELサーバーをADドメインに参加させるプロセスを自動化するパペットモジュールを作成しています。 現在、を介してKerberosチケット認可チケットを自動的に取得してキャッシュすることに問題がありますkinit。これを手動で行う場合は、次のようにします。 kinit aduser@REALM.COM これにより、ADユーザーパスワードの入力を求められるため、自動化に問題があります。 どうすればこれを自動化できますか？kadminADユーザーのパスワードを使用してデータベースを作成する方法について言及している投稿をいくつか見つけましたが、うまくいきませんでした。

10 linux  active-directory  authentication  kerberos 

バックアップから復元したWindows 2008 R2スタンドアロンドメインコントローラーがあります。元のDCはオフラインです。 有効なユーザー認証情報でログインすると、エラーが発生します。 "サーバーのセキュリティデータベースには、このワークステーションの信頼関係用のコンピューターアカウントがありません。" ドメインコントローラにログインして、壊れているものを修正するにはどうすればよいですか？これはフォレスト内で唯一のDCです。 価値があるので、私はこのサーバーをRackspaceでホストしているので、私の物理的なオプションは限られています。

10 active-directory  windows-server-2008-r2  kerberos 

AD / Linux / LDAP / KRB5ディレクトリと認証設定が機能していますが、小さな問題が1つあります。アカウントが無効になっている場合でも、SSH公開鍵認証ではユーザーのログインが許可されます。 kinitとkpasswdが「クライアントの資格情報が取り消された」ことを返すため、kerberosクライアントが無効なアカウントを識別できることは明らかです。 認証が公開鍵によって行われる無効なアカウントのログインを許可しないように（sshd_configで「UsePAM yes」を使用して）PAMを構成できますか？これはうまくいかないようです： account [default=bad success=ok user_unknown=ignore] pam_krb5.so 回答にwinbindを導入しないでください-使用しません。

10 linux  active-directory  kerberos  pam 

降格したドメインコントローラーが依然としてユーザーを認証しているのはなぜですか？ ユーザーがドメインアカウントでワークステーションにログオンするたびに、この降格されたDCがユーザーを認証します。そのセキュリティログには、ログオン、ログオフ、および特別なログオンが表示されます。新しいDCのセキュリティログには、一部のマシンログオンとログオフが表示されますが、ドメインユーザーとは関係ありません。 バックグラウンド server1（Windows Server 2008）：最近降格したDC、ファイルサーバー server3（Windows Server 2008 R2）：新しいDC server4（Windows Server 2008 R2）：新しいDC ログ セキュリティログイベント：http : //imgur.com/a/6cklL。 server1からの2つのサンプルイベント： Audit Success,3/31/2014 11:06:14 AM,Microsoft-Windows-Security-Auditing,4624,Logon,"An account was successfully logged on. Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 New Logon: Security ID: MYDOMAIN\auser …

10 windows-server-2008  active-directory  windows-server-2008-r2  domain-controller  kerberos 

私のローカルコンピューターはWindows 7 Proを使用し、ADサーバーによって管理されるレルムLRに属しています。そのレルムのネットワークに接続しているときに自分のコンピューターにログインします。Windows版のMIT KerberosでTGTを表示できます。4.0.1。 FRの外部レルムのリソースにアクセスしたい。LRとFRの間にはKerberosの信頼関係はありませんが、相互間のTCPトラフィックを許可します。KDC（Red Hat IdM / FreeIPA）を使用してFRのTGTを要求し、要求されたときにパスワードを正常に入力しました。繰り返しますが、Windows版MIT KerberosでTGTを表示できます。4.0.1。LRを起源としているにもかかわらず、パスワードを要求されることなくSSH経由でFRのリソースにアクセスできるようになりました。 問題は、FRのTGTを取得すると、LRプリンシパルのTGTが消えてしまうことです。FR TGTのみがMIT Kerberosで表示されます。コンピューターをロックしてからパスワードでロック解除すると、FR TGTはなくなり、新しいLR TGTに置き換えられます。 MIT Kerberos for Windowsは一度に1つのTGTしか保存できないようです。各TGTは、すべての意図と目的のためにその領域で完全に機能します。MIT Kerberosを構成して、各レルムに1つずつ、同時に2つのTGTを持たせるにはどうすればよいですか？それぞれが異なるKRB5_CONFIGおよびローカルキータブを指す複数のクライアントインスタンスで「コンパートメント化」することは可能ですか？私ができない場合、レルム間の信頼がない場合でも、クライアント側のKerberos 5の代替Windows実装はありますか？ PS-信頼したくない。信頼を得ることができません。 更新：問題を混乱させるかもしれないと思ったので、これらの詳細の一部を先に省略しました。しかし、ブラッドの答えに基づいて、それは正当化されるかもしれません。ほとんどのローカルソフトウェアはKerberosの組み込みのWindows実装を使用し、常にLRキータブを使用することを期待しています。 ただし、私のようなパワーユーザーはCygwinの下でheimdalを使用してFRにSSH接続します。Cygwin DLLを通過するものはすべてheimdalを使用し、LR TGTを表示しないことを期待しています（少なくともデフォルトではそうではありません）。私は明示的にkinitして次に進みます。 Cygwinを使用せずにPuTTYを使用する、サポートしなければならない非パワーユーザーには、注意が必要な部分があります。PuTTYでは、GSSAPI実装で使用するライブラリパスとDLLの両方を指定できます。たとえば、組み込みのWindows DLLではなくMIT Kerberos DLLを使用するようにSSHセッションを構成しています。LR TGT（heimdalのような）を見つけようとしないか、複数のレルムからの複数のTGTを許可しないDLLがそこにあると期待していました。MIT KerberosのようなGUIウィンドウは必要ありませんが、役立ちます。

10 kerberos 

IISサイトがNTLMまたはKerberosを使用しているかどうかを確認するにはどうすればよいですか？また、認証をKerberosからNTLMに変更するにはどうすればよいですか？IIS 7.5を使用しています。

10 authentication  iis  web  kerberos  ntlm 

RHEL6でsssdを使用してActive Directory Kerberosで認証するようにいくつかのLinuxサーバーを構成しました。パスワードなしのログインを期待してGSSAPI認証も有効にしました。 しかし、パスワードなしでPutty（0.63）を認証するようには思えません。 GSSAPIは、AD認証用に構成されたLinuxシステム（openSSHクライアント）間で動作し、.ssh / config設定を使用してGSSAPIを有効にします。 Cygwin（openSSHクライアント）からも機能し、同じ.ssh / config設定を使用し、kinitコマンドを実行してチケットを取得します。 また、SambaはすべてのLinuxシステムで共有します。これには、ホームディレクトリーがWindowsエクスプローラーからパスワードなしで機能します（GSSAPIがそこで機能するかどうかはわかりません）。 これをトラブルシューティングするにはどうすればよいですか？私のユーザーのほとんどはパテを使用しています。また、私はWindows管理者ではないため、ドメインコントローラーで何もできません。私のアカウントには、ADドメインにサーバーを追加する権限しかありません。 パテSSHパケットロギングをオンにしました。私はこの種の興味深いものを見つけました、この情報をどうするかまだわかりません： Event Log: Server version: SSH-2.0-OpenSSH_5.3 Event Log: Using SSH protocol version 2 Event Log: We claim version: SSH-2.0-PuTTY_Release_0.63 Outgoing packet #0x0, type 20 / 0x14 (SSH2_MSG_KEXINIT) Incoming packet #0x0, type 20 / 0x14 (SSH2_MSG_KEXINIT) Event Log: Doing …

9 linux  active-directory  kerberos  putty  gssapi 

ktpassWindows Server側のユーティリティを使用せずにクライアントマシンから直接キータブファイルを作成できるかどうかを知りたいのですが。 これが必要な主な理由は、いくつかのシェルスクリプトを使用して、LinuxマシンのWindows Active DirectoryからのKerberos認証の統合を自動的に有効にするためです。 ありがとう

9 active-directory  windows  kerberos 

Kerberosでは、認証サーバー（AS）とチケット許可サーバー（TGS）は通常、同じサーバーに実装されます。このマシンは、鍵配布センター（KDC）と呼ばれます。 確かに、これらのサービスを同じ物理マシンに実装することは理にかなっています。中小規模のネットワークでは、これら2つのサービスを分離するのはやり過ぎです。さらに、私は比較的信頼できる情報源を持っています。 TGSとASは同じDBにアクセスする必要がある=>異なるマシンにTGSとASを実装することはあまり意味がありません しかし、どのデータベースを2つの間で共有する必要があるのか​​わかりません。 これは私の考えです。ASとTGSをどのように分離するのですか。共有データベースはありません。 ASとTGSは分離されているため、マスターシークレットは異なります ASには、すべてのユーザーのデータベースに、それぞれのマスターシークレット（ユーザーがサインインするときに使用され、セッションキーを暗号化する）と、TGSのマスターシークレット（要求されたTGTを暗号化する）があります。 TGSにはデータベースがあり、どのユーザーがどのサービス（ACL、失効リストなど）を使用できるかを決定できます。また、すべてのサービスとそれぞれのマスターシークレット（チケットを暗号化する）を持つデータベースを決定できます。 ユーザーがサービスを使用する場合（簡略化）： ASで認証する TGSマスターシークレットで暗号化されたチケット許可チケット（TGT）と、ユーザーのマスターシークレットで暗号化されたセッションキーを取得します。 TGTでTGSに連絡する サービスのマスターシークレットで暗号化されたチケットを取得する チケットでサービスに連絡する 何かが足りないのでしょうか、それともASとTGSの分離にまったく問題はありませんか？

9 kerberos