问题标签 [mit-kerberos]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
561 浏览

kerberos - 如何在 IIS windows server 2012 中为 Web 应用程序配置 Kerberos?

我的场景:我有一个托管在 IIS windows 2012 服务器上的示例网站。当我浏览网站时,它应该提示输入 Active Directory 的凭据。我尝试使用“Windows 身份验证”,它工作正常,它使用 NTLM 进行 Windows 身份验证

如何使用 Kerberos 而不是 NTLM 登录网站

我已经尝试了链接中的步骤,但它不起作用 https://blog.kloud.com.au/2015/06/04/kerberos-web-application-configuration/

请帮我。

谢谢

0 投票
1 回答
672 浏览

oracle - jaas 配置内容读取为默认值 [Kerberos]

我正在尝试通过 spring boot 应用程序中的 keytab 连接到 Kerberized oracle 服务器。我在资源下有 keytab 和 krb5.conf,在 application.yml 下有 jaas conf 字符串,例如:

用 keytab 和 principal 替换的最终结果如下所示:

我已经验证我可以通过在日志中打印文件内容(尽管它是编码的)从资源中读取 keytab 内容。

我将此 jaas 设置为:

当我运行应用程序时,我收到以下错误:

但是,当我执行手动 kinit 并在我的 C:\Users\xxxxx\krb5cc_xxxxx 中获取凭据缓存时,应用程序运行良好。

据我了解,jaas.conf 中所需的 Krb5LoginModule 将读取 keytab 和其他属性以使用提供的 keytab 生成缓存/TGT,而我不必执行 kinit ?

我进一步调试了这种理解,发现 jaas 没有生效,并且使用一些默认设置调用了 Krb5LoginModule。

Krb5LoginModule.java:897 引导我 ktab == null 和 useKeytab = false,这与我在 jaas.conf 中设置的内容相矛盾

如果有人能帮助我了解我的 jaas.conf 或我正在采取的方法是否有问题,我将不胜感激。

0 投票
0 回答
214 浏览

kerberos - MIT Kerberos 在创建用户时未应用密码过期

我在 Debian 10 上运行 MIT Kerberos 1.17-3 以获得新的身份验证系统来替换我们旧的 Kerberos 设置,并注意到一个奇怪的问题。使用 kadmin 创建用户主体时,它不会设置密码到期日期,但如果我随后更改密码,则会设置到期日期。我可以添加-pwexpire标志并让它在创建期间设置过期,但我希望这不是必需的,以防我自己或同事在创建新用户时忘记设置该标志。

有没有办法强制 Kerberos 在用户创建期间设置密码过期日期而无需指定-pwexpire?提前致谢!

0 投票
2 回答
203 浏览

kerberos - 来自 TGS-REP 的 KDC 验证

我有一个关于从 TGS-REP 验证 KDC 的问题。

我有一个用 C++ 编写的遗留测试工具,用于验证用户的 AD 凭据。此测试工具调用 krb5 库方法来执行身份验证并在客户端(Linux 机器)上运行。我可以在数据包捕获中看到测试工具正在验证来自 AS-REP 的用户。

客户端上的测试工具 <-------> AD 服务器

---------- AS-REQ------>

<------------- AS-REP------</p>

(用户现在将被验证)

测试工具正在验证来自 AS-REP 的用户。

它不是发送/接收 TGS-REQ/TGS-REP。***我从 TGS-REP 了解到,我们也可以验证 KDC。*** 因此,我扩展了该工具以执行以下操作:

客户端上的测试工具 <-------> AD 服务器

....... 我的测试工具将通过将 KDC 的密钥与预配置的密钥表进行比较来验证 KDC。我为上述 SPN 创建了一个密钥表。

问:从一些在线阅读材料中,我了解到这可以通过将 KDC 的密钥与预配置的密钥表文件进行比较来完成。我确信我没有完全明白这一点。请帮助我理解这部分。为什么我们不能从 AS-REP 获得此验证?

0 投票
1 回答
234 浏览

api - 由于单个 IP 的多个 DNS 条目,在 Kerberos 数据库中找不到服务器

有一个 SharePoint,我正在通过 Kerberos 身份验证使用 REST API 访问文件,问题是它所在的 SharePoint 有两个用于单个 IP 的 DNS 条目,每当它解析为域名 1 时,API 正在通过身份验证我得到了回复,但是每当 DNS 解析为域名 2 时,身份验证都会失败并出现错误:'在 Kerberos 数据库中找不到服务器'而且这个 DNS 解析是随机的

需要做些什么来解决这个问题?或者如何将第二个 DNS 条目添加到 Kerberos 数据库?

“网络管理员还没有准备好删除第二个 DNS 条目!”

0 投票
1 回答
39 浏览

linux - 编译当前 Kerberos 版本时错误在哪里?

我目前正在尝试编译 MIT Kerberos 的 krb5-1.18.2 版本。不幸的是,我遇到了一个我无法解决的错误。我已经通过 Oracle Linux 6 的存储库安装了一组开发人员工具。使用命令 ./configure 我没有发现任何错误。

这是我得到的错误make

当然,从包存储库中加载 Kerberos 很容易,但不幸的是,这在目标环境中是不可能的。目前它是为了练习目的。并避免以后出现此类故障。

0 投票
1 回答
231 浏览

hadoop - 启用 Kerberos 后无法访问 Hadoop CLI

我遵循了以下教程CDH Hadoop Kerberos, NameNode 和 DataNode 能够正常启动,并且我能够看到 WebUI (0.0.0.0:50070) 上列出的所有 DataNode。但我无法访问 Hadoop CLI。我已经按照本教程某些 Java 版本无法读取凭据缓存,但我仍然无法使用 Hadoop CLI。

任何帮助将不胜感激。

0 投票
1 回答
258 浏览

java - 在 C/C++ 中获取 Kerberos 票证

有谁知道如何使用 C/C++ 中的 MIT krb5 API 从密钥分发中心 (KDC) 获取票证?

我已经有一个可用的 Java 客户端,它使用 GSS-API 从 KDC(使用本地 TGT)获取票证并将其转发到 Java 服务器。

服务器使用以下逻辑接受安全上下文:

我正在尝试使用 MIT krb5 API 实现一个 C 客户端 - 类似于 Java 客户端,但我似乎无法使其工作。到目前为止,这是我的 C 客户端代码:

0 投票
0 回答
63 浏览

kerberos - 阿帕奇长凳。带有 Kerberos 身份验证的 API

我的服务器具有 Kerberos 身份验证。示例 curl 命令如下所示。 curl --negotiate -u : <url>

现在我需要使用 Apache Bench 对此进行负载测试。如何将“--negotiate -u:”传递给 ab ?

0 投票
0 回答
27 浏览

java - Java应用程序kerberos初始化-身份验证延迟

全部,

面对这个非常奇怪的问题。

描述:我正在使用 Kerberos 缓存连接到 oracle 19.c DB。当应用程序启动时,在最初的 90 分钟持续时间内,每当应用程序尝试对数据库进行身份验证时,它都会连续提供以下异常跟踪。之后,无需任何人工干预,此错误就会消失,并且应用程序与 DB 连接良好。这种奇怪的行为没有任何理由。我在不同的服务器上运行了其他类似的 3 个实例,它们工作正常。我比较了所有配置和 java 版本,它们看起来都一样。

异常:KrbException:配置文件不应以“{”开头,因为 sun.security.krb5.Config.loadConfigFile(Config.java:567)

环境:jdk-1.8.0_251,RHEL-圣地亚哥。
我传递的 JVM 参数是-Djava.security.krb5.conf=location-of-cache-file