我的场景：我有一个托管在 IIS windows 2012 服务器上的示例网站。当我浏览网站时，它应该提示输入 Active Directory 的凭据。我尝试使用“Windows 身份验证”，它工作正常，它使用 NTLM 进行 Windows 身份验证

如何使用 Kerberos 而不是 NTLM 登录网站

我已经尝试了链接中的步骤，但它不起作用 https://blog.kloud.com.au/2015/06/04/kerberos-web-application-configuration/

请帮我。

谢谢

我正在尝试通过 spring boot 应用程序中的 keytab 连接到 Kerberized oracle 服务器。我在资源下有 keytab 和 krb5.conf，在 application.yml 下有 jaas conf 字符串，例如：

用 keytab 和 principal 替换的最终结果如下所示：

我已经验证我可以通过在日志中打印文件内容（尽管它是编码的）从资源中读取 keytab 内容。

我将此 jaas 设置为：

当我运行应用程序时，我收到以下错误：

但是，当我执行手动 kinit 并在我的 C:\Users\xxxxx\krb5cc_xxxxx 中获取凭据缓存时，应用程序运行良好。

据我了解，jaas.conf 中所需的 Krb5LoginModule 将读取 keytab 和其他属性以使用提供的 keytab 生成缓存/TGT，而我不必执行 kinit ？

我进一步调试了这种理解，发现 jaas 没有生效，并且使用一些默认设置调用了 Krb5LoginModule。

Krb5LoginModule.java:897 引导我 ktab == null 和 useKeytab = false，这与我在 jaas.conf 中设置的内容相矛盾

如果有人能帮助我了解我的 jaas.conf 或我正在采取的方法是否有问题，我将不胜感激。

我在 Debian 10 上运行 MIT Kerberos 1.17-3 以获得新的身份验证系统来替换我们旧的 Kerberos 设置，并注意到一个奇怪的问题。使用 kadmin 创建用户主体时，它不会设置密码到期日期，但如果我随后更改密码，则会设置到期日期。我可以添加-pwexpire标志并让它在创建期间设置过期，但我希望这不是必需的，以防我自己或同事在创建新用户时忘记设置该标志。

有没有办法强制 Kerberos 在用户创建期间设置密码过期日期而无需指定-pwexpire？提前致谢！

我有一个关于从 TGS-REP 验证 KDC 的问题。

我有一个用 C++ 编写的遗留测试工具，用于验证用户的 AD 凭据。此测试工具调用 krb5 库方法来执行身份验证并在客户端（Linux 机器）上运行。我可以在数据包捕获中看到测试工具正在验证来自 AS-REP 的用户。

客户端上的测试工具 <-------> AD 服务器

---------- AS-REQ------>

<------------- AS-REP------</p>

（用户现在将被验证）

测试工具正在验证来自 AS-REP 的用户。

它不是发送/接收 TGS-REQ/TGS-REP。***我从 TGS-REP 了解到，我们也可以验证 KDC。*** 因此，我扩展了该工具以执行以下操作：

客户端上的测试工具 <-------> AD 服务器

....... 我的测试工具将通过将 KDC 的密钥与预配置的密钥表进行比较来验证 KDC。我为上述 SPN 创建了一个密钥表。

问：从一些在线阅读材料中，我了解到这可以通过将 KDC 的密钥与预配置的密钥表文件进行比较来完成。我确信我没有完全明白这一点。请帮助我理解这部分。为什么我们不能从 AS-REP 获得此验证？

有一个 SharePoint，我正在通过 Kerberos 身份验证使用 REST API 访问文件，问题是它所在的 SharePoint 有两个用于单个 IP 的 DNS 条目，每当它解析为域名 1 时，API 正在通过身份验证我得到了回复，但是每当 DNS 解析为域名 2 时，身份验证都会失败并出现错误：'在 Kerberos 数据库中找不到服务器'而且这个 DNS 解析是随机的

需要做些什么来解决这个问题？或者如何将第二个 DNS 条目添加到 Kerberos 数据库？

“网络管理员还没有准备好删除第二个 DNS 条目！”

我目前正在尝试编译 MIT Kerberos 的 krb5-1.18.2 版本。不幸的是，我遇到了一个我无法解决的错误。我已经通过 Oracle Linux 6 的存储库安装了一组开发人员工具。使用命令 ./configure 我没有发现任何错误。

这是我得到的错误make：

当然，从包存储库中加载 Kerberos 很容易，但不幸的是，这在目标环境中是不可能的。目前它是为了练习目的。并避免以后出现此类故障。

我遵循了以下教程CDH Hadoop Kerberos， NameNode 和 DataNode 能够正常启动，并且我能够看到 WebUI (0.0.0.0:50070) 上列出的所有 DataNode。但我无法访问 Hadoop CLI。我已经按照本教程某些 Java 版本无法读取凭据缓存，但我仍然无法使用 Hadoop CLI。

任何帮助将不胜感激。

有谁知道如何使用 C/C++ 中的 MIT krb5 API 从密钥分发中心 (KDC) 获取票证？

我已经有一个可用的 Java 客户端，它使用 GSS-API 从 KDC（使用本地 TGT）获取票证并将其转发到 Java 服务器。

服务器使用以下逻辑接受安全上下文：

我正在尝试使用 MIT krb5 API 实现一个 C 客户端 - 类似于 Java 客户端，但我似乎无法使其工作。到目前为止，这是我的 C 客户端代码：

我的服务器具有 Kerberos 身份验证。示例 curl 命令如下所示。 curl --negotiate -u : <url>

现在我需要使用 Apache Bench 对此进行负载测试。如何将“--negotiate -u:”传递给 ab ？

全部，

面对这个非常奇怪的问题。

描述：我正在使用 Kerberos 缓存连接到 oracle 19.c DB。当应用程序启动时，在最初的 90 分钟持续时间内，每当应用程序尝试对数据库进行身份验证时，它都会连续提供以下异常跟踪。之后，无需任何人工干预，此错误就会消失，并且应用程序与 DB 连接良好。这种奇怪的行为没有任何理由。我在不同的服务器上运行了其他类似的 3 个实例，它们工作正常。我比较了所有配置和 java 版本，它们看起来都一样。

异常：KrbException：配置文件不应以“{”开头，因为 sun.security.krb5.Config.loadConfigFile(Config.java:567)

环境：jdk-1.8.0_251，RHEL-圣地亚哥。
我传递的 JVM 参数是-Djava.security.krb5.conf=location-of-cache-file