タグ付けされた質問 「kerberos」

sssdKerberos TGTが機能するADバックエンドを使用して、FreeBSD 10.0のWindows Server 2012 R2で実行されているActive Directoryからユーザーを認証するために必要な手順は何ですか？

9 active-directory  freebsd  kerberos  windows-server-2012-r2  sssd 

Windows環境でActive Directory認証済みアカウントを簡単に操作できる、優れた（信頼できる/無料の）SSHクライアントはありますか？理想的には、Kerberos for Windowsパッケージは必要ないでしょうか？ 私は、様々な改変されたバージョンがいることを知っているパテそのサポートGSSAPIの（IEを使用すると、Active Directoryアカウントを使用して、Windowsシステムにログインしてきたあなたは、ローカルシステム上のKerberosを介して認証している場合は順番にリモートシステムへのKerberosによる認証を可能にする認証と同じADアカウントが、SSH経由でアクセスしているリモートサーバーに存在する） ローカルWindows ADで生成されたKerberos資格情報を使用して、Kerberos / GSSAPI認証をサポートする他のSSHクライアントはありますか？ GSSAPI対応のWindowsクライアントのリストがあるこのページを見つけましたが、それらのいずれも使用したことがありません。 このページは、secureCRTもkerberosをサポートしていることを示唆しているようですが、やはり、Kerberos環境で使用したことはありません。 良いSSHクライアントとの経験はありますか？良いと無料？ パテのさまざまな修正バージョンでの私の経験は、Kerberos対応サーバーにアクセスするときにうまく機能するということですが、GSSAPIを試してから非Kerberos対応サーバーにアクセスするように指示すると、パスワード認証を試行する前にほぼ1分間ハングします。それはWindows Identity ManagerのMIT Kerberosにも依存します。これは私にとって取引のブレーカーではありませんが、それが他の人にどのように機能するかを説明しようとすると、私はすべての可動部分を説明するときに彼らの目が凝視し始めます... ありがとう！

9 ssh  kerberos  putty 

を使用してキータブを作成しようとしていktutilます。暗号化の種類を選択できますが、ktutilmanページには可能な選択肢のリストがありません。また、どの暗号化方式が最適かわかりません！これらの両方をどのようにして見つけることができますか？利用できる最も強力な暗号化が必要です。 $ ktutil > add_entry -password -p me@DOMAIN.COM -k 1 -e [what goes here?!]

9 linux  kerberos 

次の設定があります。 1つのドメインコントローラー（DC、Server 2003 R2 Standard x64） 1つのSQL Server（SQL、Server 2008 R2 Standard x64） 一部のクライアント。 すべてのマシンが同じドメインにあります。使用中のすべてのユーザーアカウントはドメインアカウントです。SQLは、SQL Server 2005、2008、2008R2、2012、2014の各インスタンスを1つ実行します。 今夜から（DCが再起動してWindowsの自動セキュリティアップデートをインストール）、Windows認証を介したSQL 2005、2008、および2008R2インスタンスへのアクセスは正常に機能しなくなりました。 これらのインスタンスの1つにアクセスするとき あるクライアントから Windows認証の使用 次のエラーが発生します（2008R2メッセージです。2005/ 2008メッセージも同様です）。 ログインに失敗しました。ログインは信頼されていないドメインからのものであり、Windows認証では使用できません。（Microsoft SQL Server、エラー：18452） ドメインが1つしかないため、メッセージテキストは適用されません。 ユーザーがSQLにログインすると（RDPセッションを開始するか、単純に実行runas /user:MYDOMAIN\someuser cmdしてウィンドウを開いたままにしておくと）、このユーザーは、プロセスが実行されるまで、すべてのクライアントからすべてのSQL Serverインスタンスに問題なくアクセスできます。そのユーザーの資格情報は閉じられます。 これは、SQLですべてのユーザーに対して上記のrunasコマンドを1回実行する（そしてウィンドウを開いたままにする）ことでこの問題を回避できることを意味しますが、明らかに何かが深刻に壊れています。今夜のDCのセキュリティ更新はそれと何らかの関係があるのではないかと疑っています（変更されたのはそれだけなので）。それぞれをアンインストールして再起動することは避けたいです（12個の更新がインストールされ、DCは本当に古くて遅い）。 誰かが以前にこの問題に遭遇し、永久に修正する方法を知っていますか？他のアイデア（Kerberosエキスパートになるために今後数日間を費やすこと以外）？

8 active-directory  windows-server-2003  sql-server  kerberos 

Windows Server 2012 R2のテストドメインで遊んでいます。私は可能な限り最高の機能レベルで運用しており、小規模なテスト環境で下位互換性の問題はありません。ただし、私はKerberos AES認証をサポートしているにもかかわらず、どのユーザーに対してもデフォルトで有効になっていないことに気付きました。実際にユーザーのプロパティに移動し、「このアカウントはKerberos AES 128ビット暗号化をサポートしています」または「このアカウントはKerberos AES 256ビット暗号化をサポートしています」をチェックして有効にする必要があります。 （AESを要求するポリシーを設定する「保護されたユーザー」グループにテストアカウントを追加したときに、最初にこれに気付きました。その後、これらのボックスをオンにするまで、すべてのネットワークログインが失敗し始めました。） 一部のシステムの下位互換性を確保するために、これはデフォルトで無効になっている可能性があると思いますが、すべてのユーザーに対してこれを有効にする方法、または現在の動作の説明すら見つかりません。 何か案は？

8 active-directory  kerberos  windows-server-2012-r2  encryption 

NTLm v1 / v2およびKerberosで保護されているリソースにHttpClient 3.1で簡単に接続できるJavaオープンソースパッケージを作成しています。 このツールを実際のサーバーに対してテストする必要があります。テストするユーザーとパスワードを取得できる、NTLMまたはKerberosによって保護されている公開されているエンドポイントはありますか？ 基本的に私はBrowserspy for NTLM / Kerberosのようなものを探しています。また、自己署名証明書を使用する公開サイトもテストに役立ちます。

8 authentication  windows  java  kerberos 

パスワードプロンプトがないとkerberosでログインできないdebian squeezeホストがあります。同一に構成されたubuntu 12.04ホストは正常に動作し、パスワードプロンプトを表示せずにログインできます。 kinitの後、klistは次のようになります。 Ticket cache: FILE:/tmp/krb5cc_1000 Default principal: boti@REALM Valid starting Expires Service principal 14/02/2013 16:37 15/02/2013 16:37 krbtgt/REALM@REALM sshでdebian-squeezeにログインしようとすると、パスワードプロンプトが表示されます。この時点で認証を行わずにチケットを確認すると、次のようになります。 Ticket cache: FILE:/tmp/krb5cc_1000 Default principal: boti@REALM Valid starting Expires Service principal 14/02/2013 16:37 15/02/2013 16:37 krbtgt/REALM@REALM 14/02/2013 16:38 15/02/2013 16:37 host/debian-squeeze@ 14/02/2013 16:38 15/02/2013 16:37 host/debian-squeeze@REALM だから私は明らかにチケットを取得します。しかし、sshデバッグログは次のようになります。 Postponed gssapi-with-mic …

8 linux  ssh  debian-squeeze  kerberos 

Active Directory環境でのKerberosの動作と、ユーザーおよびワークステーションをネットワークに認証するために使用する方法について基本的な理解がありますが、私の質問です。Kerberosは、エンドユーザーがアクセスするために使用するセキュリティトークンの発行に依存しているためです。ネットワークリソース、ドメインにないシステム（ラップトップ）は、Active Directoryユーザーのユーザー名とパスワードのみを使用して同じネットワークリソースにアクセスできますか？ ユーザー資格情報を使用するだけでKerberosがセキュリティトークンを生成してシステムに発行する方が理にかなっていると思いますが、非ドメインシステムがネットワークリソースにアクセスできないようにするには、セキュリティを強化する必要があります。 誰かが私を啓発できたら、私はそれを感謝します！

8 active-directory  domain  authentication  kerberos  authorization 

IIS 7.5では、Windows認証、Kerberos、SPN、および制約付き委任について学び、理解するために何時間も費やしてきました。管理者やCEOなどに対して委任を有効（つまり、デリケートなアカウントの委任を無効にしない）のままにしておくのが「危険」である理由がわかりません。誰かに簡単に説明してもらえますか？イントラネット環境に関してあなたの答えを組み立ててください。 たとえば、委任によってフロントエンドWebサーバーが他のサーバーと通信するときに、Windows認証されたユーザーに代わって動作することを許可するだけなので、これは問題にならないはずです。その人がアクセス権を持っている場合、彼らはアクセス権を持っていますが、なぜこれが問題になるのか理解できません。 私の無知を許してください。私は主に開発者ですが、私の会社は最近非常に無駄のない状態で運営されており、サーバー管理者の帽子も着用せざるを得ません...

8 iis-7.5  kerberos  windows-authentication  intranet  delegation 

実行時： sudo mount -t nfs4 -o sec=krb5 sol.domain.com:/ /mnt クライアントでこのエラーが発生します： mount.nfs4: access denied by server while mounting sol.domain.com:/ そして私が読んだサーバーのsyslogで UNKNOWN_SERVER: authtime 0, nfs/mercury.domain.com@SOL.DOMAIN.COM for nfs/ip-#-#-#-#.ec2.internal@SOL.DOMAIN.COM, Server not found in Kerberos database UNKNOWN_SERVER: authtime 0, nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/EC2.INTERNAL@SOL.DOMAIN.COM, Server not found in Kerberos database UNKNOWN_SERVER: authtime 0, nfs/mercury.domain.com@SOL.DOMAIN.COM for krbtgt/INTERNAL@SOL.DOMAIN.COM, Server …

8 amazon-ec2  nfs  mount  kerberos 

ネットワーク速度が遅いという不満がユーザーから寄せられたため、Wiresharkを起動しました。いくつかのチェックを行ったところ、次のようなパケットを送信する多くのPCが見つかりました（スクリーンショット）： ユーザー名、コンピューター名、ドメイン名のテキストをぼかしました（インターネットのドメイン名と一致しているため）。コンピューターは、ブルートフォースハッキングパスワードを試行するActive Directoryサーバーにスパムを送信しています。それは管理者から始まり、アルファベット順にユーザーのリストを下に行きます。物理的にPCにアクセスしても、PCの近くにはだれも見つかりません。この動作はネットワーク全体に広がるため、何らかのウイルスのように見えます。Malwarebytes、Super Antispyware、およびBitDefender（これはクライアントが持っているアンチウイルスです）を使ってサーバーにスパムを送信しているのを発見されたコンピューターをスキャンしても、結果は得られません。 これは約2500台のPCを備えたエンタープライズネットワークであるため、再構築を行うことは好ましくありません。次のステップは、BitDefenderに連絡して、彼らが提供できる支援を確認することです。 誰かがこのようなものを見たことがありますか、それが何であるかについて何か考えを持っていますか？

8 security  active-directory  kerberos  malware  brute-force-attacks 

IIS7のさまざまなWindows認証プロバイダーの意味を誰かが知っていますか。3つの利用可能なプロバイダーがあります NTLM 交渉する 交渉：Kerberos NTLMはかなり明白です。NTLMとネゴシエートはそのKerberosだと思います。そうであれば、Negotiate：Kerberosとは何ですか。

8 windows-server-2008-r2  iis-7  authentication  kerberos  ntlm 

ドメインユーザーアカウントのあるホストでWindowsサービスを実行し、このアカウントのパスワードが後で変更された場合、パスワードを更新するまで、サービスは開始できなくなりますか？ そうでない場合、ドメインユーザーアカウントの資格情報は、サービスを実行しているマシンで、パスワードの変更に耐えられるようにどのように保持されますか？

8 windows  domain  password  windows-service  kerberos 

Windown Server 2008ドメインコントローラーで、Communigate電子メールサーバーからのKerberos認証を有効にするために、ユーザーアカウント 'Postmaster'にサービスプリンシパル名（SPN）を追加しようとしています。私が使用しているコマンドラインは次の形式です。 setspn -a imap/email-domain.com windows-domain\postmaster このコマンドを実行すると、結果が得られます。 Registering ServicePrincipalNames for CN=Postmaster,OU=Users,DC=windows-domain,DC=com imap/email-domain.com Failed to assign SPN on account 'CN=Postmaster,OU=Users,DC=windows-domain,DC=com', error 0x2098/8344 -> Insufficient access rights to perform the operation. 私はDomain Adminsグループのユーザーとしてログインしているので、これは最も興味深いものです。このアカウントの有効な権限を確認しましたが、含まれていない権限はありません。別の管理者アカウントも試しましたが、結果は同じでした。 除外するために、ユーザーPostmasterもDomain Adminsに追加しましたが、結果に変更はありません。 このコマンドをドメインコントローラーインスタンスで直接実行しています。SPNに問題なくクエリを実行できますが、SPNを記述できないようです。 また、ktpassを使用して目的のユーザーに間接的にSPNを設定しようとしましたが、警告が表示されました。 WARNING: Unable to set SPN mapping data. ...これは、同じ不十分なアクセス問題の症状だと思います。 このエラーの原因は何ですか？

8 windows-server-2008  kerberos  permissions  spn 

私のオタク生活の中で、私はWindowsドメインのこの制限に対処しました ログイン-コンソール 何かへの統合認証（通常はWebアプリ） 資格情報を別のサーバー（データベースやファイルシステムなど）に移動できません。マシン2を信頼する必要があります。 この動作を変更する構成はありますか？多くの場合、3ホップは驚くほど便利です。 資格情報を2回委任してはならない具体的な理由は何ですか（クライアント->サーバー->サーバー）。

8 active-directory  kerberos  delegation