问题标签 [mit-kerberos]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
1191 浏览

authentication - Kerberos 密钥生命周期

我有一个在我的域上运行的 HTTP 服务。但是我对如何决定我的 HTTP 服务的生命周期几乎没有疑问。客户端可以使用我的 HTTP 服务多长时间?

0 投票
1 回答
511 浏览

authentication - 了解 Kerberos 主体

我正在尝试理解 Kerberos 的基本概念。我在这里读到了关于校长的信息,通常看起来像:

我想问到底什么是主、实例和领域。当然,上面的页面和互联网上的其他几个地方都有定义,但是有人可以举个例子吗?

我的理解是:主要是消费者(用户或服务)。实例是用于访问控制的东西。主实例可以是多个实例的一部分。Realm 是实例的集合?如果我错了,请纠正我。

如果我有一个服务器:foo.bar.com
,我可以有 2 个领域:REALM1, REALM2。这些可以这样命名吗?或者我可以在这里只有 1 个领域作为FOO.BAR.COM吗?
现在我说 3 个服务:s1、s2、s3相互交谈。由于启用了 kerberos,他们每个人都必须有一个带有自己的 keytab 文件的主体?或者由于每个服务都在与其他服务通信,每个 keytab 文件是否需要为其他服务提供主体?

0 投票
0 回答
59 浏览

hadoop - 在我的窗口中从 KDC(centos7) 获取票证,但仍然无法访问 Web URL

我是新手Hadoop,我 在我的 和我的集群中做了一个,它在 中运行良好Hadoop cluster,我可以通过3 centos machineVMwarekerberosingVMwareFireFox in CenotOS machine

但是,当我尝试访问外部页面时,VMware(in my windows machine) 它总是显示如下

  1. IP我可以通过or互相 pinghostname通(我已经设置了 hosts 文件)
  2. KDC我从我的 中拿到了票windows machine by MIT Kerberos就像这样,当我输入klistmy时windows cmd,它显示了票。

  3. 我已firefox按照建议设置(因为centos我可以访问该页面。)

  4. 我还应该设置什么?

请帮忙!

我得到的票

这是我在 windows 和 centos 机器上的 krb5.ini 和 krb5.conf

0 投票
1 回答
1790 浏览

tableau-api - 如何修复 MIT Kerberos 票证初始化失败的错误。错误 22

您好我目前正在尝试将我的 Tableau 平台连接到我的数据库,并且我目前正在安装 Kerberos 客户端。我已将正确的 krb5.ini 粘贴到我的 c:\programdata\MIT 文件夹中,并在我的扩展变量中添加了一个新变量,但我遇到的问题是我无法使用我的用户名和密码获得票证。

目前我收到以下错误:

我已经搜索了谷歌,但没有遇到任何可以识别此错误的内容,因此如果有人能告知我哪里出错甚至错误意味着什么,我将不胜感激。

提前致谢。

0 投票
0 回答
195 浏览

oracle - 跟踪 oracle 客户端 kerberos

如何跟踪 kerberos 的 oracle 客户端?客户端日志记录部分的 krb5.conf:

所有文件都是空的 - 根本没有数据!

krb5.conf 的这一部分(日志记录)是否仅适用于客户端或服务器部分?

0 投票
0 回答
618 浏览

java - kerberos kinit 在 Windows 服务器 12 上给出 java.lang.NullPointerException

当我在 Windows Server 2012 上运行 kinit 命令时,它会给出空指针错误。请给我任何解决方案。

0 投票
1 回答
831 浏览

single-sign-on - 运行带有集成 Windows 身份验证的 SPNEGO Kerberos 时出现 GSSException

我正在尝试使用 spnego 和 tomcat 设置 Kerberos 集成 Windows 身份验证。

这是我第一次这样做,还没有看到真正的环境,所以主要依赖于 spnego 站点的在线文档。我收到以下错误:

GSSException:在 GSS-API 级别未指定故障(机制级别:无效参数(400)找不到适当类型的密钥来解密 AP REP - RC4 与 HMAC)

附加我的 krb5 和 login.conf。

krb5.conf login.conf

Tomcat 作为本地服务运行。并且 keytab 支持 128 和 256 加密。

你能帮我解决这个问题吗?

0 投票
1 回答
303 浏览

kerberos - 为什么 MIT-Kerberos 的“本地领域推荐”失败?

我正在尝试在 2 个 KDC(EXAMPLE.COM 和 HADOOP.COM)之间设置跨领域身份验证,以便领域EXAMPLE.COM 中的用户可以访问 HADOOP.COM 中的服务。我已经在我的 krb5.conf 中添加了一个 capaths 部分:

我还将所需的主体 krbtgt/HADOOP.COM@EXAMPLE.COM 添加到两个 KDC 中。到目前为止,一切正常,我的应用程序能够做它需要做的事情。

我关心的是我在EXAMPLE.COM上的跟踪日志中的以下行:

我的问题如下:

  1. 这个本地领域推荐到底是什么?这是用于跨领域请求的 kerberos 术语吗?
  2. 为什么本地领域推荐会失败?如何明确指定我希望本地领域引用发生的方式?
  3. 后备领域的含义是什么?我如何指定一个?

从我的 krb5.conf 中可以看出,我没有明确指定回退领域或引用,所以我认为 kerberos 正在为它们选择默认值。我想知道如何明确指定它们。

0 投票
1 回答
1109 浏览

kerberos - rpc.gssd - 带有includedir的krb5.conf

我正在尝试使用includedir. 上下文如下:

  • 默认领域指向 TEST.REALM.COM(hadoop 安装)
  • nas/nfs 领域指向 NFS.ANOTHER.REALM.COM

当我将所有内容放入文件realms中时,我可以挂载我的 nfs 共享。当我使用标签时,想法不会成功。domain realmskrb5.confincludedir

这是我的krb5.conf

这是默认 hadoop 领域的配置文件

这是 nfs 领域的配置

唯一包含 test01 服务器的/etc/krb5.keytab用户主机、nfs 和 root

当我尝试安装共享时使用此配置,nfs01.realm.com我会收到这种错误:

看起来 nfs 守护程序不适用于该includedir标签。

你怎么看 ?

0 投票
0 回答
83 浏览

c - 在 C API 中设置 Kerberos KDC 地址而不使用 krb5.conf 文件

我正在编写一个通过 MIT Kerberos 对用户进行身份验证的 C 应用程序。

krb5_get_init_creds_password(..)工作正常,john.doe@EXAMPLE.COM 可以通过身份验证,但我必须定义

krb5.conf文件中。

是否有可能在 C API 中设置 KDC 服务器地址?

我不想使用该krb5.conf文件或进行环境设置。

在此先感谢,达尔文