问题标签 [ktpass]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
22755 浏览

windows - 在 Windows 中创建与 kinit 一起使用的密钥表

我正在编写一个 pGina 插件以在登录时从我们的 KDC 获取 AFS 令牌和 Kerberos TGT,同时我注意到 kinit 的一个“功能”是它不会让你提供任何输入,除非它来自键盘,我的想法是只是重定向标准输入......

有人建议为主体使用 keytab 文件,这似乎超级简单,直到我意识到我只在 linux 上使用了 kutil,并且在使用 ktpass.exe 的 Windows 版本时遇到了困难。我已经反复尝试使用大量参数组合来创建密钥表,但到目前为止绝对没有成功,我发出的当前命令是:

ktpass /out key.tab /mapuser user$@MERP.EDU /princ user.merp.edu@MERP.EDU /crypto RC4-HMAC-NT /ptype KRB5_NT_PRINCIPAL /pass mahpasswordlol /target MERP.EDU

不幸的是,所有这些输出都是

Using legacy password setting method

FAIL: ldap_bind_s failed: 0x31

根据我的研究,这是一个身份验证/加密问题,我已经尝试过使用其他 DES 设置,但这似乎也不起作用......有人对这可能如何工作有任何经验/想法吗?

0 投票
0 回答
1603 浏览

kerberos - 我可以验证密钥表文件中的密码吗?

我有一个 Kerberos 密钥表文件。有没有一种简单的方法来验证包含的密码是我假设的密码?我在十六进制编辑器中查看了该文件,并且根据http://www.gnu.org/software/shishi/manual/html_node/The-Keytab-Binary-File-Format.html中描述的结构,keyblock包含的类型是 3 用于 des-cbc-md5,1 用于 ??,23 用于 arcfour-hmac-md5,16 用于 des3-cbc-sha1,17 用于 ??

0 投票
1 回答
839 浏览

active-directory - Windows Server 2003 -Ktpass - 加密:枚举值“rc4-hmac”未知

我正在尝试在 Windows Server 2003 上使用 Ktpass 创建一个密钥表。

我收到以下错误:

我有两个问题:

1)我打算在 Centos 6 上使用 imap 服务实现对 Windows 用户的单点登录。虽然你可以使用“-crypto rc4-hmac”也可以提供 DES-CBC-CRC 或 DES-CBC-MD5? . 我相信 Windows 客户拥有所有加密票 rc4-hmac,这不会让事情正常进行,我怀疑我的问题之一就在那里。

2)有办法让Windows Server 2003 可以有选项rc4-hmac?。

谢谢你的帮助。

0 投票
1 回答
8644 浏览

kerberos - ktpass中mapuser的用途

我只是想找出将用户映射到使用的服务的目的是什么ktpass。例如,我在 Windows 上,我ktpass像这样运行:

ktpass -out <keytab location> -princ <host/domain.com> -mapUser useraccount@domain.com -mapOp add .........

当我们将用户映射到 时,-princ是否意味着只有“用户帐户”才能对服务进行身份验证?我们如何使用-addand-set选项?有什么区别?

我的问题是:我有很多用户想要使用我拥有的服务,并通过 kerberos (JASS Krb5LoginModule) 进行身份验证,但我不想在 jaas.config 文件中指定许多用户主体名称。所以我正在考虑使用 SPN,并映射用户。

0 投票
1 回答
1966 浏览

encryption - Kerberos 密钥表文件包含多个条目

我正在尝试使用 kerberos 对我的服务的用户进行身份验证。我将 SPN 附加到使用setspn -s HTTP/<hostname> <Username>.

然后我对上面的 SPN 附加用户使用了 ktpass 命令。但是生成的密钥表文件有多个条目,似乎正在创建多个密钥。

这里可能有什么问题?

这是 ktpass 命令的输出:

已创建密钥。

已创建密钥。

已创建密钥。

已创建密钥。

已创建密钥。

将 keytab 输出到 c:\tomcat.keytab:

密钥表版本:0x502

0 投票
1 回答
55 浏览

weblogic - kerberos 身份验证-功能组

我有一些 AD 用户,它们链接到一个功能组。我的问题是如何在 keytab 命令中提到这个功能组?据我了解,keytab 使用 AD 用户名和密码。还必须在 keytab 命令中提及密码吗?

句法:

ktpass –princ HTTP/@ -mapuser –pass 密码 -crypto all -ptype KRB5_NT_PRINCIPAL –out

0 投票
1 回答
10165 浏览

windows - 在 Windows 上生成 kerberos 密钥表文件需要什么?

我在不同的网站上寻找上述问题的答案,但在每种情况下都有如何生成 keytab 文件。我需要 keytab 来获取包含 kerberos 身份验证的 hbase 连接。

0 投票
2 回答
3955 浏览

kerberos - Kerberos 和多个 SPN

我设法为 1 台服务器设置了 Kerberos 身份验证,并且运行正常。现在我有一个项目,我必须将另一台服务器添加到 Kerberos 配置中,如下所示:

1) 广告服务器

2) 运行服务的 server1

3) server2 将运行相同的服务

所以我执行了 setspn 命令以将两者都分配给单个“spn”用户:

setspn -s serviceX/server1.domain.com@DOMAIN.COM spn

setspn -s serviceX/server2.domain.com@DOMAIN.COM spn

然后我执行了命令 ktpass:

ktpass -princ serviceX/server1.domain.com@DOMAIN.COM -ptype KRB5_NT_PRINCIPAL -crypto AES256-SHA1 -mapuser serviceX\spn -out C:\keytab +rndPass

接下来我应该怎么做才能让它发挥作用?如何为 server2 执行 ktpass?当我为 server2 尝试相同的命令时,我收到警告:

警告:无法将 UPN serviceX/server2.domain.com ptype 1 vno 10 etype 0x12 kinit 设置为“serviceX/server2.domain.com”将失败。

你们如何为相同的服务但​​在不同的服务器上设置 kerberos 身份验证?您是否创建 2 个 spn 用户和 2 个 keytab?我认为我需要将所有内容都放在 1 个 keytab 中,因为服务需要它。有什么帮助吗?

0 投票
1 回答
1626 浏览

windows - 带特殊字符的密码参数

我在这里和整个网络上浏览了大量关于 Powershell 中特殊字符的帖子,但无论我到目前为止尝试了什么,我的命令都会继续被特殊字符所吸引。我正在尝试使用以下命令生成密钥表:

我尝试将密码分配给变量,使用反引号转义,双引号和转义,单引号。我不知道还能在这里尝试什么。

0 投票
2 回答
10149 浏览

authentication - Kerberos - AES-256 Keytab 不起作用

我们的 AD 团队将禁用 RC4-HMAC,因此我必须将 JBoss 应用程序更改为 AES。我将 aes 类型添加到 krb5.conf 并创建了新的密钥表,但这似乎不起作用。除了使用 kinit 的应用程序之外的测试显示相同的结果。

有一个类似的问题,但我们已经启用了它的解决方案。还有另一个人(里克莫里茨)对我的问题没有答案。

服务器:SLES12

广告:Windows 服务器 2016

krb5.conf

键表

密钥表旧 RC4:

密钥表新的 AES256:

kinit 测试(krb5 版本 1.12.5)

使用密码进行身份验证(成功):

使用旧 keytab RC4 进行身份验证(成功):

使用新的 keytab AES256 进行身份验证(失败):

查看 etypes 表明 aes 似乎有效。但我无法弄清楚为什么我会收到 aes-keytabs 的预身份验证错误。

新旧 keytab 由以下 ktpass 命令创建:

我已经用正确的 kvno 而不是 0 尝试过,结果相同。

感谢您的帮助或想法。

PS 匿名 MY.DOMAIN 和 myapp

使用新编译的 krb5 1.16 进行测试

我结合了 Samson Scharfrichter 和 T.Heron 的技巧,现在我看到了在创建 keytab 时从 ktpass 获得的 SALT 和 kinit 的跟踪输出之间的区别。但我不知道它来自哪里以及如何改变它。在这种情况下,盐由其中一个 SPN 组成。

ktpass

启动跟踪