タグ付けされた質問 「kerberos」



2
Linux <krb5> LDAPからMac OSXサーバーNFSをマウントしますか?
Fedora 16からNFS共有をマウントしようとしています。サーバーは同僚が設定したMac OS X Serverです。Kerberos / LDAP認証が必要だと思うので、それを理解する(おそらく骨の折れる)プロセスを開始しますが、理解できないことがいくつかあります。 showmount -e SERVER予想される共有とIPの許可を与えます&lt;krb5&gt;。 # sudo mount -v SERVER:SHARE MNT mount: no type was given - I'll assume nfs because of the colon mount.nfs: timeout set for Wed Nov 28 15:10:32 2012 mount.nfs: trying text-based options 'vers=4,addr=XXX.XXX.XXX.XXX,clientaddr=XXX.XXX.XXX.XXX' mount.nfs: mount(2): Protocol not supported mount.nfs: trying …
13 linux  mac  nfs  ldap  kerberos 

2
Kerberosの事前認証はどのようにセキュリティを向上させますか?
この FAQエントリ(およびRFC自体)には、事前認証が、Kerberosの初期実装の脆弱性に対処しており、オフライン辞書攻撃に対して脆弱であることを示しています。 FAQの状態: 事前認証の最も単純な形式は、PA-ENC-TIMESTAMPとして知られています。これは、単にユーザーのキーで暗号化された現在のタイムスタンプです。 攻撃者がこの事前認証データを含むパケットを盗聴した場合、これも辞書攻撃に対して脆弱ではありませんか?私は暗号文を持っています、元のタイムスタンプを知っています-このシナリオはどう違いますか?

1
FreeIPAでのSSHFPレコードの生成
私のセットアップ Centos 7.3を実行しているマシンのクラスタがあり、認証にKerberos / LDAPを使っています。 Kerberos / LDAPはFreeIPA 4.4.0に同梱されています。 すべてのホストのアドレスが 192.168.1.0/24 。これを "プライマリ"ネットワークと呼びます。 一部のホストにはアドレスがあります。 192.168.2.0/24 。これを「セカンダリ」ネットワークと呼びます。この2番目のインタフェースを持つホストの場合、セカンダリホスト名とセカンダリIPアドレスを関連付けるDNS内の対応する追加のA / PTRエントリがあります。すべての場合において、セカンダリホスト名は &lt;プライマリホスト名&gt; -eth1 。 私の目標 私は私達のクラスター全体でSSOを実装することに取り組んでいます。 SSOはプライマリネットワークでは正常に機能していますが、セカンダリネットワークでは機能していません。 私は何をしたのですか。 サーバーを次のように構成しました。 ipa-server-install \ -r ME.EXAMPLE.COM \ -n me.example.com \ --mkhomedir \ --hostname=host-1.me.example.com \ --ip-address=192.168.1.1 \ --ssh-trust-dns \ --setup-dns \ --auto-forwarders \ --forward-policy=only \ --auto-reverse \ …
2 linux  ssh  ldap  kerberos  freeipa 

1
Kerberos認証でpam_sssアクセスが拒否されました
Ubuntu 18.04(サーバーおよびクライアントマシン)でKerberos認証とldapを使用してsssdを使用しようとしています。Ubuntuクライアント側にsssd sssd-toolsパッケージをインストールしました。しかし、LDAPのユーザーであるaliceにログインしたいときは、できません。サーバーがチケットを(サーバーKerberosのログで)配信し、クライアントがキャッシュでチケットを受信して​​いることがわかります。Mkhomedirは/etc/pam.d/commom-sessionにあります。 mkhomedirを有効にする必要があることがわかったので、実行しましたpam-auth-update --package mkhomedirが、何も変わりませんでした。 auth.logには次のように書かれています: Jul 19 14:30:12 virtualBox gdm-password]: pam_unix(gdm-password:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=alice Jul 19 14:30:13 virtualBox gdm-password]: pam_sss(gdm-password:auth): authentication success; logname= uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=alice Jul 19 14:30:13 virtualBox gdm-password]: pam_sss(gdm-password:account): Access denied for user alice: 6 (Autorisation …

0
Windows 7でOutlookのKerberos認証を無効にする方法
ちょっとした背景: (イーサネットケーブルで接続されている)Exchangeと同じネットワーク上にあるときにExchange 2013に接続するのに長時間(20秒)かかりますが、同じネットワークにVPN接続するときにかなり速く(100ms)接続するWiFi経由で、または任意の外部接続)。 WiresharkとBurp Suiteでデバッグしている間、ローカルのBurpインスタンスを介してOutlookにプロキシを実行させるだけでも、VPN経由と同じくらい高速に接続できることがわかりました。多くのことを試して失敗した後、私はKerberosの問題を除外したいと思います。Kerberosは、Exchangeの自動検出ではうまく機能しないと複数の人から聞いています。 だから私の質問は: 自分のWindows 7マシンでOutlookのKerberos認証を無効にするにはどうすればよいですか。私はすでにと遊んだ NT4Emulator そして LmCompatibilityLevel キーは、成功しませんでした。

1
LinuxボックスからMS SQLServerへの接続
Linuxで実行する(Qtを使用して)作成したアプリケーションからMS SQLServerに接続しようとしています。セットアップの詳細は次のとおりです。 SQLServerボックス(SQLBox)は私のドメイン(mydomain.local)の一部です。このドメインはで実行されているActive Directoryを使用しADBox.mydomain.localます。Linuxボックスはドメインの一部ではありません。Linuxボックスのユーザーはローカルにログオンします。すなわちmvincent@linuxbox。 LinuxにKerberosをインストールし、に接続するように構成しましたADBox.mydomain.local。を使用するkinit mvincent@mydomain.localと、を使用して確認できるチケットが返されますklist。 mvincent@mydomain.localSQLBoxでSQLServerにアクセスするためのアクセス許可が設定されています。 ODBCを使用してSQLServerに接続しています。SQLServerは、ActiveDirectoryユーザーからの接続のみを受け入れるように構成されています。ユーザー名とパスワードを使用してSQLServerに接続することはできません。ODBC接続文字列にはが含まれていTrusted_Connection=yesます。 私のQtアプリケーションは、Linuxのログオンユーザーとして実行されます。これはmvincent.LinuxBoxになります。このユーザーのチケットを取得できないため、接続は拒否されます。 のチケットを取得できますが、mvincent@mydomain.localこのチケットまたはこのユーザーをODBC接続文字列に入力する方法がわかりません。 私がやろうとしていることをどうすればできますか? ありがとうございました。

1
ホームネットワーク上のパスワードで保護されたSamba共有の場合、ntlm対ntlmv2対krb5(kerberos)?
パスワードで保護されたwifiを備えたホームネットワークがあります。私のホームネットワークには、パスワードで保護されたSamba共有を持つファイルサーバーがあります。ネットワークには複数のユーザーを持つ複数のマシンがあり、その時点で使用しているマシンからのみこの共有にアクセスできることを確認したいため、共有自体は保護されています「あなたはホームネットワーク上にあり、wifiは既にpwで保護されているのに、なぜ共有自体にpw保護が必要なのですか?」など。 現在、これは私が私のSamba共有をマウントする方法です(注、私の質問に関連する部分はですsec=ntlm): mount -t cifs //myserver/myshare /media/myshare -o uid=myunixuser,gid=myunixgroup,credentials=/home/myunixuser/.smbcredentials,iocharset=utf8,sec=ntlm,file_mode=0600,dir_mode=0700 ここまでは順調ですね; ただし、セキュリティの種類とNTLMが推奨されない理由に関するいくつかの記事を読んでいます(やだやだ(記事「NTLMの時代が過ぎた」を参照)。「ntlm vs ntlmv2 vs kerberos」をグーグル検索し、NTLMについてのウィキペディアの記事とこのトピックのUbuntuのマニュアルページを読んで詳細を学ぼうとしましたが、完全に登録されていません。 そこにあるほとんどのドキュメントはネットワーク管理者向けであり、私は週末の戦士のようです。一般に、NTLMv2はKerberosと同様にNTLMよりも優先されることを収集しますが、すべてのクライアントがそれらをサポートするわけではないため、v2またはKerberosを自動的に選択する必要があるわけではありません。すごい、一体何?誰かが私のためにそれを馬鹿にすることはできますか?NTLMに固執していても、これらのさまざまなセキュリティオプションの対処方法を理解したいだけです。これについて考えすぎている場合はお知らせください。ありがとう。

1
Kerberos化されたサービスをdebianにインストールするにはどうすればよいですか?
Kerberosをdebian環境にインストールし、SSHで動作するようにしました。他のサービスでも試してみたいのですが、debianにインストールできませんでした。私はいくつかのチュートリアルに従いました https://www.debian-administration.org/article/570/MIT_Kerberos_installation_on_Debian(段落Kerberosサービスのインストール) https://itservices.stanford.edu/service/kerberos/install_debian コマンドを実行しようとしたとき apt-get install krb5-rsh-server または apt-get install krb5-telnetd このエラーが発生しました: user@pc# apt-get install krb5-rsh-server Reading package lists... Done Building dependency tree Reading state information... Done E: Unable to locate package krb5-rsh-server このバージョンのLinux(Debian)を実行しています:Debian 3.16.3-2(2014-09-20)x86_64 GNU / Linux Kerberosサービスをインストールするには、他のパッケージをインストールする必要がありますか? 誰も私がこの問題を解決するのを手伝ってくれますか?

0
Kadminがロックアウトされ、Linux ftpおよびKerberosのActive Directoryに問題がある
だから、私は自分が設定しているLinux FTPサイトを持っており、前の同僚が中断したところから始めています。FtpにはActive Directoryログインがあり、職場の特定のユーザーに対して機能しているようです。ただし、初期資格情報が取り消されたと表示されるため、kadminとしてログインすることはできません。セットアップ中のActive Directoryを引き続き使用できるように、このkerberosシステムをどのように操作および操作するかを考えていますが、彼はもう私たちと一緒ではありません。パズル。私の理解から、KDCを作成し、ユーザーを追加/削除し、プリンシパルをユーザーに関連付けることができるKDCのkadminを作成することになっています。ただし、彼が設定したKDCの名前、kadminアカウントのロック解除方法、および新しい管理ユーザーの追加方法はわかりません。彼が私に残した唯一のものであるので、私はルートアカウントにアクセスできることに注意してください。現在のkadminのロックを解除する方法、またはこの現在のステップを通過できず、この新しいFTPサーバーのリリースを遅らせる最後の方法として、新しいkadminを作成する方法についてアドバイスしてください!! ありがとう!
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.