Вопросы Теги

Соединение Linux MIT Kerberos с Windows 2003 Active Directory

Одна возможная причина, что одному из там серверов включили контроль температуры в BIOS. Возможно, один из центральных процессоров работает горячий.

Попытайтесь проверить вентиляторы охлаждения/вентиляции, если они все еще работают.

2
задан 8 March 2017 в 19:59
2 ответа

Хорошо, путем воссоздания моей базы данных Kerberos и добавления принципалов с каждым enctype там было доступно (aes256-cts:normal arcfour-hmac:normal des3-hmac-sha1:normal-des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm de s:afs3) и затем экспорт HTTP/link.to.website@REALM к keytab для апача, Пользователи Active Directory теперь могут войти в систему также.

Вот пример добавления принципала с каждым кодированием и экспортом его к keytab:

addprinc-e "aes256-cts:normal arcfour-hmac:normal des3-hmac-sha1:normal-des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm de s:afs3" HTTP/www.eindwerk.lan

ktadd-e-kt/etc/apache2/apache.keytab HTTP/www.eindwerk.lan "aes256-cts:normal arcfour-hmac:normal des3-hmac-sha1:normal-des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm de s:afs3"

Править: Хорошо, это все, кажется, работает правильно, за исключением того, что Internet Explorer всегда пытается получить билет для HTTP / [TRUSTED_DOMAIN_NAME_IN_WIN_2003] на первой попытке. В моем случае, который переводит в "HTTP/EINDWERK.LAN", в то время как это должен быть "HTTP/NS.EINDWERK.LAN".

Я также заметил, что попытка изменить доменное имя доверия [ИЗОБРАЖЕНИЕ] полностью и абсолютно повреждает любую аутентификацию перекрестной области: TGT's обмениваются правильно, но когда Ваш локальный Linux, KDC пытается на самом деле использовать билет, он обнаруживает, что не может дешифровать его, бросив "PROCESS_TGS: authtime 0, для HTTP/ns.eindwerk.lan@EINDWERK.LAN, Никакой ключ соответствия в записи" ошибка в журнале KDC. Причина этого может состоять в том, что многие механизмы шифрования берут область и имя пользователя как соль, так, чтобы доменное имя действительно было определено правильно.

1
ответ дан 3 December 2019 в 12:20

Можно настроить несколько областей в Вас /etc/krb5.conf файл на Linux. Посмотрите раздел областей документов Kerberos MIT. Вы могли настроить свою область Windows там и пользователей, которые входят в систему с принципалом, это - часть той области, будет аутентифицироваться против Вашего Windows 2003 Active Directory.

Затем просто необходимо настроить Apache с mod_auth_kerb и удостовериться, что установили KrbAuthRealms переменная конфигурации для включения всех областей требуется смочь пройти проверку подлинности через Apache.

Если я не пропускаю что-то, эта конфигурация не то, который усложнил и довольно общепринятая практика при использовании мультиобласти конфигурации Kerberos.

1
ответ дан 3 December 2019 в 12:20
  • 1
    Большое спасибо, I' сегодня вечером ll испытывают это. Я просто хотел перепроверить это с людьми, более хорошо осведомленными относительно предмета, как это для школьного проекта, и мое время несколько ограничено. I' ll отвечают снова, после того как у меня есть он выполнение (или не) –  Beerdude26 15 May 2010 в 15:38

Теги

Похожие вопросы