问题标签 [kerberos]

我们开发了一个 Web 服务，它位于共享点站点的上下文中并在其中运行。使用普通的 Windows 身份验证可以正常工作。

我们现在有一个客户想要在启用 Kerberos 的共享点站点上安装它。我们需要对 webserivce、调用客户端（Windows 服务）或两者都进行哪些更改以启用此功能...？

我想使用 .NET 生成一个 Kerberos 票证，并通过网页上的登录表单提供身份验证凭据（这将在 sql db 中对用户进行身份验证），然后使用此票证将用户身份验证为跨几个其他人的单点登录网络应用程序。

这可能吗？我已经查看了 WSE，它似乎假设您在使用它进行身份验证之前已经有一个授予的 kerberos 票证可以使用。

我们有一个 MIT kerberos 服务器来签发票证。

我的 Sharepoint 2007 Web 部件执行代码以启动 K2 工作流程。工作流服务器驻留在另一台服务器上。

当我的代码执行时，我收到以下错误：“24408 K2:NT AUTHORITY\ANONYMOUS LOGON from 172.172.172.172:1721 没有权限启动进程 MyProject\MyProcessName”

我确定这是一个一般的 IIS 委派问题（不是特定于 K2），但我不确定如何解决它。为什么 Sharepoint 在应该模拟当前域用户时尝试以 AnonymousLogon 身份连接到另一台服务器？

注意： - 我的 Sharepoint AppPool 身份是域用户（不是网络服务）。- 启用 ASP.NET 模拟。

我的 Mac Book Pro 上挂起 SSH 时遇到问题。这只有在我在工作时使用 SSH 后下班回家后才会发生。我将问题缩小到的三个因素是 SSH、我们的工作 AFS 网络驱动器和网络连接方法。

在工作中，我们使用带有 Kerberos 身份验证的 AFS 驱动器来完成我们所有的软件开发工作。我使用 Kerberos 进行身份验证，以便访问我所有源代码所在的 AFS 驱动器，但我打开了一个本地编辑器 (Eclipse)，它引用了 AFS 驱动器上的文件。每当我需要编译我的代码时，我都会通过 SSH 连接到我的开发服务器（它也通过了 AFS 驱动器的身份验证）并从那里编译。（理智提示：我知道这是一个超级古怪的设置，但我保证我与它没有任何关系。我只是利用我所拥有的。）

对于我的网络首选项，我一直使用自动位置。对于该配置，我将内置以太网 en1 配置为在工作时使用 DHCP 和我们公司的 DNS 服务器（没有可用的无线网络）。当我回家时，我通过无线连接到我的家庭网络，再次使用 DHCP。

我有一种预感，AFS 连接/以太网配置是这里的罪魁祸首。重新启动 SSH 守护程序并不能解决问题。我发现解决此问题的唯一方法是每次我想使用 SSH 时重新启动计算机。请记住，当我在工作中使用笔记本电脑后，在家时我没有其他（已知的）网络问题。

我有一位同事在他的 MBP 上向我报告了同样的问题。

我真的被这个难住了。请提供一些指导。谢谢！

您如何检查 IIS 网站是否成功使用 Kerberos 并且不依赖 NTLM？

是否有实现 Tomcat 使用的 Kerberos 身份验证并且还支持 Kerberos 委派的 apache 模块？

我已经看过 mod_spnego 了，它丢弃了它创建的 SSPI 上下文，只保留了主体名称。相反，我正在寻找一个模块，该模块将允许委托发送到 Tomcat 的票证 - 也就是说，获取发送的服务票证以进行身份​​验证并使用它在服务器端代表用户访问另一个服务。

编辑：为了澄清，我需要在 Win32 下使用 GSS/SSPI 上下文进行模拟，因此当遗留代码连接到另一台服务器时，将使用委托凭据。

我有一个控制台应用程序，我想以“NT AUTHORITY\NetworkService”的身份运行，但我不记得该怎么做 - 唯一的原因是我将在 Windows 服务中托管我的服务，但用于 Kerberos 身份验证测试我想使用域中已经存在的（服务主体名称）SPN（它确实启用了委派）。

简而言之，我可以简单地将它从控制台应用程序转换为 Windows 服务，但我希望避免这样做。

我怎样才能做到这一点？

有谁知道如何使用 Java GSS-API 从密钥分发中心 (KDC) 获取服务票证？

我有一个胖客户端应用程序，它首先使用 Krb5LoginModule 通过 JAAS 进行身份验证，以从票证缓存中获取 TGT（背景：Windows 例如使用 kerberos 实现并将票证授予票证存储在安全内存区域中）。从 LoginManager 我得到包含 TGT 的 Subject 对象。现在我希望当我为我的服务创建一个特定的 GSSCredential 对象时，服务票证也将被放入主题的私有凭据中（我已经在网络的某个地方读过）。所以我尝试了以下方法：

不幸的是，我收到 GSSException：未提供有效凭据（机制级别：找不到任何 Kerberos tgt）。

让我们假设我对 Kerberos 了解不多 - 只是基础知识。

我有...

• Debian Linux 2.6 网络服务器
  • 阿帕奇 2.2
    • mod_auth_kerb/5.3
    • PHP/5.2
• 一个（工作的）Kerberos 领域
• 视窗客户端
  • 火狐 3
  • 麻省理工学院网络身份管理器中的登录身份“user@EXAMPLE.COM”

如何在 PHP 脚本中使用此信息，以便在访问者拥有类似的 kerberos 票证时无需登录网站？我不希望 Apache 处理身份验证。我需要找出哪个用户正在通过 PHP 访问该站点。

那可能吗？如果是这样：如何？

到目前为止我发现了什么：我必须在 Firefox 中“启用”域。

然而，仅此而已...

My network has a kerberos server for username/password authentication. Machines that run my application have functioning kerberos clients, so users can use kinit, etc.

How do I interact with the server programatically, from my own custom applications? The preferred language for an example is C.

I want users of my application to authenticate against a kerberos server before access to certain functions. I anticipate having to ask them for their username and password - kinit may not have been called.

The machines hosting the applications run OS X and Debian/Linux.

I believe the answer might well involve GSSAPI. If so, are there good tutorials for this?