問題タブ [kerberos]

WindowsドメインでSPNをクエリ/変更することに運が良かった人はいますか？GoogleでのヒットのほとんどはSQL関連です。これを自分で行う方法についての情報は見つかりません。最も重要なことは、SPN構成を照会し、重複をチェックすることです。

Arnoutによると、私は次のコードを作成しました。

kerberos 構成ファイル (つまり ) を解析 (および書き込み) する Perl モジュールに遭遇した人はいます/etc/krb5.confか? Config::General、Config::Autoなどのかなりの数の解析モジュールを見てきましたが、次のようなネストされた構造を処理できるものはないようです。

またINI、次のような -style セクションも処理する必要があります。

形式の詳細については、krb5 conf ドキュメントを参照してください。

私は自分のパーサーを書いているところですが、他の誰かが素敵でエレガントなモジュールを既に書いているのであれば、そうする必要はありません。

Kerberos を学習して理解しようとしています。Kerberos 認証を有効にするために、クライアントとサーバー (Windows プラットフォームと非 Windows プラットフォーム) の間で発生する必要があるプロセスを理解する必要があります。プロセスをよりよく説明するための助けを探しています。ありがとうございました

Microsoft が利用している 2 つの WWW-Authenticate 追加機能は、私が現在認識しているものです。

• NTLM
• 交渉

Negotiate がサーバーから送信されると、一連の条件に基づいて Kerberos が使用されます

• イントラネット ゾーン
• IP ではなくホスト名を使用してサーバーにアクセスする
• IE の統合 Windows 認証が有効で、ホストが Firefox で信頼されている
• サーバーはブラウザに対してローカルではありません
• クライアントの Kerberos システムがドメイン コントローラーに対して認証されている

次に、サーバーとクライアントの間で Kerberos が試行されます。上記の条件が満たされない場合は、NTLM が試行されます。

私の質問は、サーバーが NTLM を送信してはならないことを示す方法はありますか? 私は現在、セッション内のリクエストを追跡することでこれを処理しており、NTLM メッセージを受信した場合、そのセッションの残りの期間、Kerberos と WWW 認証を無効にしています。

kerberos で保護されている Web ページをチェックするには、Python でスクリプトを作成する必要があります。Python内からこれを行う可能性はありますか?どのように? スクリプトは、python 2.4.something がインストールされた Linux 環境にデプロイされます。

デルトーニ

LDAP サーバー (おそらくApache ディレクトリ) を使用して、アプリケーションのログインと資格情報を管理したいと考えています。アプリケーションは、LDAP サーバーに接続せずに (ラップトップで) オフラインで作業する必要がある場合があります。

資格情報ローカルをレプリケートする最良の方法は何ですか?

私はすでに考えました：

• Mitosisを使用してラップトップに LDAP サーバーを複製します。

  しかし、それは非常に「重く」複雑な解決策になります。さらに有糸分裂はまだ終わっていないようです。

• 資格情報を、ラップトップに保存できる LDIF ファイルとしてエクスポートします。

  しかし、LDIF ファイルが実際に LDAP サーバーからのものであることを確認する方法が必要です (ファイルには一種の署名が含まれている必要があります)。さらに、1 週間以上更新されていない LDIF ファイルを拒否したいと思います。署名と年齢チェックを自分で実装することを回避できればいいのにと思います。

私を助けることができる他のアイデアやツールはありますか?

編集編集：Java-Kerberos-APIのドキュメントには、ローカルキャッシュでキャッシュされたチケットを使用できると書かれているようで、これが解決策になると思ったので、Kerberosを調べました。さらに、Kerberos をプラグインとして Apache ディレクトリに追加できます。ただし、Kerberos キャッシュには復号化されたチケットが格納されます (他のアプリケーションと共有することを目的としています)。オフライン セッション中にユーザー パスワードを確認できるようにするには、チケットの暗号化されたバージョンが必要です。結論: Kerberos は、私の問題に対する単純な解決策を提供しません。

コードに転送された既存のjavax.security.auth.kerberos.KerberosTicketを指定して、JavaでActive Directoryにユーザー属性を照会する方法はありますか？Ldapを使用して検索を実行したいのですが、このKerberosTicketオブジェクトを使用してLDAPにバインドする方法について混乱しています。現在、Spring-LdapとSpring-Securityを使用してActive Directoryと通信し、単純な認証クレデンシャルを使用して、ユーザー名とパスワードをバインドしてユーザーを認証し、すべての属性、役割などを取得できます。そのActiveDirectoryサーバーからのKerberosTicketこのユーザーのパスワードがわからないため、自分自身をバインドする方法がわかりました。現在、LoginContextからlogin（）を呼び出して、KerberosTicketを暗号化されたJavaオブジェクトとしてコードに転送することはしていません。