问题标签 [kerberos]

任何人都可以推荐一些非常好的资源来帮助 Apache 使用 Kerberos 对用户进行身份验证。

Kerberos 的背景阅读也很有用

谢谢

彼得

I am trying to run a SQL Server Reporting Services where the data for the report is on a SQL Server database that's on a different server. Integrated Authentication is turned on for both the Report Server and the report. I have confirmed that Kerberos delegation is working fine by using Internet Explorer to run the report from inside the network.

However, when I open the report server through the firewall, I cannot run the report. I get the following error: An error has occurred during report processing. Cannot create a connection to data source 'frattoxppro2'. Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'.

Does Kerberos authentication not work outside a firewall?

我试图了解 SSL 和 Kerberos 身份验证之间的实际区别是什么，以及为什么有时我同时拥有 SSL 流量和 Kerberos。或者 Kerberos 是否以任何方式使用 SSL？

任何人都可以帮忙吗？谢谢！

为什么 Kerberos 身份验证使用 T125 协议？我相信 Kerberos 身份验证的行为方式如下：

• 客户向 Kerberos 授权请求一张票
• Kerberos 授权向客户端提供票证
• 客户端尝试向服务器进行身份验证并将此票证发送到服务器。
• 服务器通过 Kerberos 授权验证票证是否正常，并对客户端进行身份验证。

现在，在这个过程中，在哪里使用了 T125，为什么？
客户端是否在尝试访问（例如：对于每个 HTTP GET 页面）时向服务器发送票证，并且服务器随时检查此票证，还是在“对话”开始时只检查一次？

谢谢！

我一直在尝试按照这篇 Microsoft 文章中的指南使用 Kerberos 和 AD 对 Apache 进行身份验证。我已经用kinit成功测试了apache服务器和AD服务器之间的通信。但是，当我尝试使用 IE 访问服务器上的受限页面时，出现内部服务器错误，并且 apache 错误日志中出现以下内容。

我已经在 apache 进程上运行了一个 truss，并确认它实际上正在加载 keytab 文件。我想知道keytab文件的格式是否有问题......

我不确定我错过了什么。或者还有什么要检查的。

有什么建议么？

谢谢

彼得

这是我的场景。我创建了一个使用集成 Windows 身份验证的应用程序才能工作。在Application_AuthenticateRequest()中，我HttpContext.Current.User.Identity用来获取WindowsPrincipal我网站用户的当前信息。

现在这是有趣的部分。我们的一些用户最近结婚了，他们的名字发生了变化。（即用户的 NT 登录从 更改jsmith为jjones），当我的应用程序对其进行身份验证时，IIS 将他们的 OLD LOGIN 传递给我。我继续看到jsmith传递给我的应用程序，直到我重新启动我的服务器！注销客户端不起作用。重新启动应用程序池不起作用。只有完全重启。

有谁知道这里发生了什么？是否有某种命令我可以用来刷新任何给我这个问题的缓存？我的服务器配置错误吗？

注意：我绝对不想重新启动 IIS、我的应用程序池或机器。由于这是一个生产盒，这些都不是真正可行的选择。

狂热 -

是的，他们的 UPN 连同他们的登录名一起改变了。还有马克/尼克……这是一个生产企业服务器……它不能只是重新启动或重新启动 IIS。

跟进（为后代）：

Grhm 的回答很到位。这个问题出现在低容量服务器中，您没有很多人使用您的应用程序，但会发出足够多的请求以将用户的身份保存在缓存中。KB中似乎描述了为什么默认 10 分钟后不刷新缓存项的关键部分是：

缓存条目确实会超时，但是应用程序的重复查询可能会在缓存条目的最大生命周期内保持现有缓存条目处于活动状态。

我不确定我们的代码中是什么导致了这种情况（重复查询），但对我们有用的解决方案是将LsaLookupCacheExpireTime值从看似淫秽的默认值 1 周减少到仅几个小时。对我们来说，这将用户在现实世界中受到影响的可能性降低到基本上为零，但同时不会导致对我们的目录服务器进行极端数量的 SID-Name 查找。如果应用程序通过 SID 查找用户信息，而不是将用户数据映射到文本登录名，则 IMO 更好的解决方案是。（注意，供应商！如果您在应用程序中依赖 AD 身份验证，则需要将 SID 放入身份验证数据库中！）

我们正在尝试将 Linux 机器（debian 4.0）绑定到 W2k3 AD。我们已经正确配置了 kerberos，以便我们可以获取 TGT。并且用户正确地进行身份验证。但是，PAM 似乎是粘性检票口。例如，当我们尝试以 AD 用户之一的身份通过 SSH 连接到 linux 机器时，身份验证成功（根据 auth.log），但我从来没有得到 shell。默认环境配置正确，PAM 甚至可以正确创建 Homedir。作为参考，我们大致遵循：

https://help.ubuntu.com/community/ActiveDirectoryHowto

我想在三台 SQL 服务器上设置复制，其中一台没有为 Kerberos 配置。（SPN 尚未设置）

我是否需要 Kerberos 和传递委派才能在 SQL Server 2005 中使用复制？

我的应用程序在tomcat 下运行。它使用 GSS API (JNDI) 通过 Kerberos 连接到 Active Directory LDAP 服务器。它允许用户定义 AD 服务器并尝试连接到它们。但是，一旦第一次使用连接尝试的 Kerberos 完成后，应用程序就不会再次读取 Kerberos 配置 ( /etc/krb5.conf)。因此，对其进行任何更改都需要重新启动 tomcat。

我怎样才能避免这样的重启？如何在每次连接尝试之前强制应用程序重新加载 Kerberos 配置？

我的应用程序允许定义多个 LDAP 服务器来使用。可能想要定义对多个 LDAP 服务器的 Kerberos 访问。可以做到吗？单个主机可以在 Active Directory 服务器之间使用 Kerberos 作为连接方法吗？