问题标签 [mit-kerberos]

我的应用程序需要使用 CIFS 和 Kerberos 安全地装载 Isilon 共享。我的mount尝试返回Required key not available：

mount -t cifs //fileserver.example.com/client123/files /mnt/client123/files -o username=acoder,password=XXXXXX,sec=krb5

回复：

以下是来自的相应条目/var/log/messages

背景和配置

我使用以下方法添加了一个密钥表：

检查klist -kte：

这是request-key.conf：

票证缓存：

什么可能导致“必需的密钥不可用”错误？

编辑：我在 CIFS 中启用了调试，并尝试再次挂载共享。这是输出：

使用 JAAS 运行 Java 应用程序我得到了一个令人惊讶的效果：
Java 客户端应用程序无法访问 Windows LSA，直到我安装了 MIT Kerberos 工具“kfw-4.0.1-i386.msi”？

JAAS conf 文件设置：

在 Windows 7 上运行 Java 1.8
我使用 -Dsun.security.krb5.debug=true 获得了日志记录

没有安装 MIT 工具就离开了，安装了 MIT 工具就失败
了，成功了

我尝试将注册表项
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters 值名称：allowtgtsessionkey设置为 0 和 1，但是在卸载 MIT 工具时这并没有改变任何内容。

有人可以告诉我是否可以在不安装 MIT 工具的情况下访问 LSA？或者向我指出 JAAS 如何与 Windows LSA 交互的信息？

我有适用于 Windows 和 Linux 守护程序的 Qt C++ 应用程序。Windows 机器在域中（2008 R2 作为 AD 控制器）。我需要实现 Windows 登录用户对 Linux 守护程序的透明身份验证。

我发现 Kerberos 5 是 Windows 中使用的现代安全机制，而 GSS API 是 Kerberos 5（和其他一些安全协议）的便捷 API。

我在 Windows 上将此库用于 C++ 应用程序：http ://web.mit.edu/kerberos/kfw-4.0/kfw-4.0.html

我理解的过程如下：

1. 使用 GSS API 在客户端获取一些字节
2. 以我的消息格式包装这些字节并发送到服务器
3. 服务器以某种方式检查该令牌并获取用户名并检查此信息是否可信。

我在第 1 步。但是，GSS API 存在以下错误：

未找到凭据缓存

下面是实现：

Linux上的相同代码给了我

没有可用的 Kerberos 凭据

那么，有没有办法获取属于当前登录用户的内容并可以发送到服务器？

我不想使用一些 Kerberos MIT 应用程序来生成一些东西等等（我试过了，想）。只是在域中干净的 XP/Win7 系统上进行简单的透明身份验证。我到处都能看到它——它不是那么具体。只是想知道实施起来有多难！

我正在尝试使用 MIT Kerberos 实现（使用 k4w-4.0.1 中的 krb5_32.dll 和相关的头文件）来获取 TGT 和服务票证。

我已经加载了 krb5_init_context 函数，根据头文件 google 和 SO，它只需要 1 个参数（krb5_context 结构）并填充它。

我已经为 Datanode 启用了 Kerberos。

当我尝试启动数据节点时。它失败，返回值 3。

但是，来自 keytab 文件的用户登录是完美的。Datanode 与 namenode 的通信也在发生。

ps aux 还显示正在运行的数据节点守护程序。

针对这种奇怪行为的任何建议/答案。

注意：这是一个单节点集群，Namenode 正在运行。Keytab 文件没有问题。

我是 ubuntu plus kerberos 的新手，试图在我的 vm ubuntu 中配置 kerberos，但我无法通过配置主机的第 2 步。下面是文件。我正在学习中，所以请帮忙。

我的问题是当我 ping localhost 时我得到响应，但是当我 ping monarch 或 krb1 时我得到错误。

我的 etc/hosts 如下所示

127.0.0.1 本地主机

192.168.7.12 ubuntu.spinlock.hr ubuntu krb1.spinlock.hr krb1 monarch.spinlock.hr 君主

我的 etc/hostname 如下所示

ubuntu

请帮我看看我在哪里做错了

注意 - kerberos 服务器和客户端都将安装在同一台机器上。但是，为了区分客户端和服务器角色，客户端将被称为 monarch.spinlock.hr，服务器被称为 krb1.spinlock.hr。在 etc/hosts 文件中

我的集群启用了 kerberos，从 ambari UI 启动 Ranger kms 时出现“没有存储密钥”错误：-

有人可以帮我吗？如果需要更多信息，请告诉我。

谢谢

在我们的项目中，客户端有自己的 KDC 服务器，客户端希望我们的 WSO2 与客户端 KDC 对话以进行身份​​验证。我知道如何在 WSO2 中启用 kerberos，但我无法在我们的 WSO2 与客户端 KDC 服务器之间建立连接（简而言之，我想将 WSO2 身份服务器连接到外部 KDC 服务器）。

目前我正在配置 Hadoop 以使用 MIT kerberos 来保护其访问。作为其中的一部分，我们必须使用主机名创建几个专用于每个服务的服务主体。

但是，我不明白服务主体的使用。为什么/如何应用服务器需要它来验证其他用户的服务票证？

我无法获得应用程序服务器对尝试使用它的用户进行身份验证所遵循的过程/步骤。

我按照以下博客了解生成服务票证所采取的步骤顺序。但是，它没有解释应用服务器如何使用服务票证来识别用户。谁能解释一下这一步。

http://www.markwilson.co.uk/blog/2005/06/kerberos-authentication-explained.htm

我正在使用最新的 ApacheDS 2.0.0-M21 ，对于 Kerberose 登录，我遵循了http://directory.apache.org/apacheds/kerberos-ug/4.2-authenticate-studio.html中提到的所有步骤。

我会遇到错误的“ Javax.security.auth.login.loginexception：对解密字段的完整性检查失败（31）时”当“需要通过加密的时间戳进行检查预验证”时。当未选中“要求通过加密时间戳进行预身份验证”时，我收到错误“j avax.security.auth.login.LoginException: Checksum Failed ”。

我向 ApacheDS 社区邮件列表发送了一封邮件，但到目前为止我还没有收到他们的任何回复。

我正在尝试在我的 Windows7 机器上设置 Kerberos。如果您需要任何其他信息，请告诉我。

我们的要求是我们需要一个独立的 Kerberos 设置来测试我们产品的安全功能。如果您知道任何其他 Kerberos 设置，请建议我。我尝试使用 MIT Kerberos，但它在安装时与我们的办公室域绑定，找不到添加我自己的自定义域名的方法。