問題タブ [kerberos]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
apache - ApacheでのKerberosユーザー認証
Kerberosでユーザーを認証するApacheを取得する方法について、誰かが本当に良いリソースを推奨できますか?
Kerberosのバックグラウンド読み取りも役立ちます
ありがとう
ピーター
sql-server - ファイアウォールの外側にあるクライアントの Kerberos 委任
レポートのデータが別のサーバーにある SQL Server データベースにある SQL Server Reporting Services を実行しようとしています。レポート サーバーとレポートの両方で、統合認証がオンになっています。Internet Explorer を使用してネットワーク内からレポートを実行し、Kerberos 委任が正常に機能していることを確認しました。
ただし、ファイアウォールを介してレポート サーバーを開くと、レポートを実行できません。次のエラーが表示されます: レポートの処理中にエラーが発生しました。データ ソース 'frattoxppro2' への接続を作成できません。ユーザー 'NT AUTHORITY\ANONYMOUS LOGON' のログインに失敗しました。
Kerberos 認証はファイアウォールの外では機能しませんか?
ssl - SSL と Kerberos 認証の違いは?
SSL と Kerberos 認証の実際の違いと、SSL トラフィックと Kerberos の両方が存在することがある理由を理解しようとしています。または、Kerberos は何らかの方法で SSL を使用しますか?
誰でも助けることができますか?ありがとうございました!
security - Kerberos および T125 プロトコル
Kerberos 認証で T125 プロトコルが使用されるのはなぜですか? Kerberos 認証は次のように動作すると思います。
- クライアントは Kerberos 機関へのチケットを要求します
- Kerberos 機関はクライアントにチケットを提供します
- クライアントはサーバーに対して認証を試み、このチケットをサーバーに送信します。
- サーバーは、チケットが Kerberos 権限で問題ないことを確認し、クライアントを認証します。
では、このプロセスのどこで T125 が使用され、その理由は何ですか?
また、クライアントはサーバーにアクセスしようとするたびに (たとえば、HTTP GET ページごとに) チケットを送信し、サーバーはいつでもこのチケットをチェックしますか? それとも、「会話」の開始時に一度だけですか?
ありがとうございました!
apache - gss_acquire_cred がキー テーブル エントリが見つからないというエラーを返す
私はこの Microsoft の記事のガイドラインに従って、Kerberos と AD を使用して Apache に対して認証しようとしています。kinit を使用して、Apache サーバーと AD サーバー間の通信を正常にテストしました。しかし、IE でサーバー上の制限されたページにアクセスしようとすると、内部サーバー エラーが発生し、Apache エラー ログに次のように表示されます。
apache プロセスで truss を実行し、実際にキータブ ファイルを正常にロードしていることを確認しました。キータブファイルのフォーマットに何か問題があるのだろうか...
私は何が欠けているのか分かりません。または、他に確認することは何ですか。
助言がありますか?
ありがとう
ピーター
asp.net - IIS がアプリケーションに古いユーザー名を返す
これが私のシナリオです。機能するために統合 Windows 認証を使用するアプリケーションを作成しました。では、自分の Web サイトのユーザーの現在の情報を取得するためApplication_AuthenticateRequest()
に使用します。HttpContext.Current.User.Identity
WindowsPrincipal
ここが面白い部分です。一部のユーザーは最近結婚し、名前が変わりました。(つまり、ユーザーの NT ログインが からjsmith
に変わりますjjones
)、アプリケーションがユーザーを認証すると、IIS はユーザーの OLD LOGIN を渡します。jsmith
サーバーを再起動するまで、アプリケーションに渡されたままです。クライアントのログオフは機能しません。アプリ プールを再起動しても機能しません。完全な再起動のみ。
ここで何が起こっているか知っている人はいますか?この問題を引き起こしているキャッシュをフラッシュするために使用できるコマンドはありますか? サーバーの構成が間違っていますか?
注: IIS、アプリケーション プール、またはマシンを再起動したくありません。これは生産用のボックスであるため、これらは実際には実行可能なオプションではありません。
アビッド -
はい、ログイン名とともに UPN が変更されました。Mark/Nick... これは運用エンタープライズ サーバーです... ただ再起動したり、IIS を再起動したりすることはできません。
フォローアップ(後世のために):
Grhm の答えは的を射ていました。この問題は、アプリケーションを使用する人が多くない低ボリュームのサーバーで発生しますが、ユーザーの ID をキャッシュに保持するために十分な要求が行われます。デフォルトの 10 分後にキャッシュ項目が更新されない理由を説明しているように見えるKBの重要な部分は次のとおりです。
キャッシュ エントリはタイムアウトしますが、アプリケーションによるクエリの繰り返しにより、既存のキャッシュ エントリがキャッシュ エントリの最大有効期間にわたって存続する可能性があります。
私たちのコードの何がこれを引き起こしているのか (繰り返しのクエリ) は正確にはわかりませんが、私たちにとってうまくいった解決策はLsaLookupCacheExpireTime
、一見わいせつなデフォルトの 1 週間からわずか数時間に値を削減することでした。これにより、ユーザーが現実の世界で影響を受ける可能性が実質的にゼロになり、同時に、ディレクトリ サーバーに対して極端な数の SID-Name ルックアップが発生することもありません。IMO のさらに優れたソリューションは、ユーザー データをテキストのログイン名にマッピングする代わりに、アプリケーションが SID でユーザー情報を検索することです。(ベンダーの皆さん、注意してください! アプリケーションで AD 認証に依存している場合は、認証データベースに SID を配置する必要があります!)
active-directory - Kerberos を使用して Linux を Active Directory にバインドする
Linux マシン (debian 4.0) を W2k3 AD にバインドしようとしています。TGT を取得できるように kerberos を適切に構成しました。また、ユーザーは適切に認証されます。ただし、PAM はスティッキー ウィケットのようです。たとえば、AD ユーザーの 1 人として Linux マシンに SSH 接続しようとすると、認証は成功しますが (auth.log に従って)、シェルを取得できません。デフォルト環境は適切に構成されており、PAM は Homedir も適切に作成します。参考として、大まかに次のことを行いました。
sql - SQL Server 2005 でレプリケーションを使用するには、Kerberos をセットアップする必要がありますか?
3 つの SQL サーバーでレプリケーションをセットアップしたいのですが、そのうちの 1 つは Kerberos 用に構成されていません。(SPN はまだセットアップされていません)
SQL Server 2005 でレプリケーションを使用するには、Kerberos とパススルー委任が機能している必要がありますか?
tomcat - TomcatでKerberos構成を再ロードするにはどうすればよいですか?
私のアプリケーションはTomcatで実行されます。GSS API(JNDI)を使用して、Kerberosを使用してActiveDirectoryLDAPサーバーに接続しています。これにより、ユーザーはADサーバーを定義し、それらに接続を試みることができます。ただし、接続の試行を使用した最初のKerberosが実行されると、アプリケーションはKerberos構成を再度読み取ることはありません(/etc/krb5.conf
)。したがって、これを変更するには、tomcatを再起動する必要があります。
どうすればそのような再起動を回避できますか?接続を試みるたびに、アプリケーションにKerberos構成を強制的に再ロードさせるにはどうすればよいですか?
active-directory - 1つのホストから2つのKerberosキータブを使用できますか?
私のアプリケーションでは、動作する複数のLDAPサーバーを定義できます。複数のLDAPサーバーへのKerberosアクセスを定義したい場合があります。できますか?単一のホストが、接続方法としてKerberosを使用してActive Directoryサーバー間を移動できますか?