0

我已经阅读了很多关于这个主题的内容,但我无法找到解决方案。我想告诉我我得到了什么,并展示一些我尝试过的东西。

在我们公司,我们的 Windows 用户通过 Windows Server 2003 上的 Active Directory 进行身份验证。我们使用安装在 Centos 6 上的开源邮件服务器,例如带有 Cyrus Imap 的 Postfix。

目标是让用户从任何桌面应用程序(如 Thunderbird、Outlook 等)检查他们的邮件......而不必再次输入密码。(sso)。

我尝试过的方法包括使用 Postifix、Cyrsus Imap、Samba、librerias de clientes kerberos、GSSAPI、Thunderbird、Kerberos For Windows 以及作为使用 Windows Server 2003 的 kdc。

一些步骤将启动此页面:在此处输入链接描述

甚至在这个论坛上询问无法继续推进显示甚至捕获whireshark。

在此处输入链接描述

现在我正在考虑尝试其他选择。您可以通过 NTLM 获得一些项目,但这些项目是通过 Web 浏览而不是桌面应用程序访问的。

我在想这个问题没有解决方案,或者我没有看到。

有没有人能够取得一些成就?,我建议按照这种方式?

谢谢你的帮助!。

4

1 回答 1

1

您正在尝试做的事情是完全可能的;我有所有这些作品自己工作,或者非常相似。由于我的设置,我只让 Thunderbird 在安装了 KfW 并使用其 GSSAPI DLL 的情况下工作,但它可以选择使用 SSPI(Windows 原生 Kerberos 提供程序),所以它也应该以这种方式工作。

我要做的第一件事是让 Kerberos 与 Cyrus 和 Postfix 一起工作。您需要获取它们 Kerberos 服务主体:imap/hostname@DOMAIN 和 smtp/hostname@DOMAIN。您可以使用 setspn.exe 将这些添加到某个 AD 帐户(任何人都可以);省略该命令中的 @DOMAIN 部分。然后,您需要包含提供给 Cyrus 和 Postfix 的主密钥的文件,称为 keytabs。您可以使用 ktpass.exe,但这是一个糟糕的程序——您也可以在 Unix 上使用ktutil(假设 MIT Kerberos)使用 AD 帐户的密码创建匹配的密钥表。

在服务器端,对于 Cyrus,您需要安装 GSSAPI SASL 库。您可以使用 imtest 程序(Debian 上 cyrus-clients 的一部分)来测试 GSSAPI/Kerberos IMAP 身份验证并使其正常工作;在 Unix 上使用“kinit username@DOMAIN”从域控制器获取要使用的 Kerberos 凭据。我自己只为 Kerberos 而不是 Postfix 设置了 sendmail。

于 2013-07-27T07:08:26.660 回答