問題タブ [kerberos]

javamail を使用して IMAP 受信トレイをチェックしています。現時点では、ユーザー名とパスワードを保存して IMAP サーバーにログインしているだけです。ただし、当社のセキュリティ ポリシーでは、これを kerberized にする必要があります。

私は javamail、IMAP、および kerberos について調べてきましたが、不可能であると言うリソースもあれば、可能であると示唆するリソースもあります。残念ながら、経由で接続する方法を示す例は見つかりませんでした。ケルベロス。

経由でIMAPサーバーに接続できるかどうか、誰かが確認/拒否できるかどうか疑問に思っていました. kerberos と javamail を組み合わせて使用​​します。誰かが役に立つリソースに出くわした場合は、非常に感謝します。

ありがとう、

マーティン。

私は多数のmsdnの記事とcodeplexガイダンスに従いましたが、WCFをKerberos認証と委任で動作させることができず、少し助けていただければ幸いです。

設定

リモートマシンのIISWebサイトにWCFサービスがあります

• Windows2003R2上のIIS6.0-SP2
• マシンのSPNが追加されました（http / myserver && http / myserver：8080）
• IISアプリプール用にADアカウントが作成されました
• ADアカウントには、（Kerberosの場合）委任を許可する設定があり、trueに設定されています

私は8080でBrianBoothのデバッグサイトを使用していますが、このサイトはKerberos委任のすべての要件に合格しています。デバッグIISサイトでは、匿名認証がオフになっており、統合Windows認証がオンになっています。

これらの設定を、WCFサービスをホストしているサイトにミラーリングしました。

Webサービス-Web構成（オリジナル）

Webサービス-Webメソッド

クライアントアプリ-アプリ構成

アプリケーションエラー

テストアプリケーションであるWinFormsアプリがWebメソッドを呼び出そうとすると、次のエラーが発生します。

「HTTP要求はクライアント認証スキーム「匿名」で許可されていません。サーバーから受信した認証ヘッダーは「Negotiate、NTLM」でした。」

イベントログ

次のエラーがイベントログにあります。

例外：System.ServiceModel.ServiceActivationException：コンパイル中の例外のため、サービス'/Service.svc'をアクティブ化できません。例外メッセージは次のとおりです。このサービスのセキュリティ設定には「匿名」認証が必要ですが、このサービスをホストするIISアプリケーションでは有効になっていません。

わかりません。このサービスの要点は、匿名認証を許可しないことです。すべてのユーザー/要求は、Kerberosチケットを使用して認証され、他のマシンに渡される必要があります。

Kerberos認証と委任のためにこのWCFサービスをどのように構成する必要がありますか？

リビジョン1

このSOの質問を読んだ後、メタデータエンドポイントを削除しました。これは問題を解決していません。

リビジョン2

さらに調査した後、wsHttpBindingをbasicHttpBindingに変更することを提案するいくつかの投稿を見つけました。web.configのその部分への変更は以下に含まれており、サービスエンドポイントはそのバインディングを参照するように更新されています。

Webサービス-Web構成（改訂）

クライアントアプリ-アプリ構成（改訂）

エラー（改訂）

現在のエラーには、Kerberos認証ヘッダーが含まれているようです。

HTTPリクエストは、クライアント認証スキーム「ネゴシエート」では許可されていません。サーバーから受信した認証ヘッダーは'NegotiateSOMEHUGESCARYKEYHERE

CakePHPに基づいて構築されたWebアプリがあります。現在、組み込みのAuthComponentとACL機能を使用してユーザー認証/アクセス制御を行っています。

私たちの組織全体に、独自のユーザー/パスの組み合わせを必要とする多くのアプリケーション（Webおよびその他）があります。当社は、多くの内部アプリを「シングルサインオン」機能に移行することを検討しており、中央ユーザーストアにKerberosを使用することを望んでいます。

誰かがAuthComponentを変更して、アプリ自体の使用を許可されたユーザーのアプリケーションレベルのデータベースに対して検証することでこれを攻撃したのではないかと思いますが、Kerberosと通信して（ユーザーが見つかったと仮定して）、ユーザーのuname/pwdコンボを認証します。

何かアドバイスをいただければ幸いです。

私が知る限り、FireFox と Safari は当分の間、SharePoint コンテキストで Kerberos を使用することはできませんが、それはなぜですか? また、FireFox と Safari の両方が SharePoint 2010 の時間枠でボールをプレーすると予想する必要がありますか?

現在、CMS（PHPで開発）認証をActiveDirectoryと統合しています。この特定のActiveDirectoryは、Kerberosまたはldaps：//を介した認証のみを許可します（ただし、絶対パスを使用する必要があるため、この最後のディレクトリは最も必要ではありません）。

PHP AD Kerberos認証について何かをウェブで検索してきましたが、何も見つかりませんでした。誰かが私を正しい方向に向けることができますか？

前もって感謝します。

OS X 10.6 での Kerberos の新しい制限により、10.5 で利用可能だったものと同様の機能を提供するスクリプトに取り組んでいます。基本的に、klist 出力を解析して、チケットの有効期限が切れているかどうかを確認し、有効期限が切れるまでの時間を表示します。10 分を過ぎると、kinit が呼び出されて GUI パスワード プロンプトが表示され、kerberos パスワードが要求されます。チケットの有効期限が切れている場合は、同じことを行います。

スクリプトは、再度呼び出す前に kinit が実行されていないことを確認するため、複数の kinit 呼び出しはありません。スクリプトは非常にうまく機能します (GeekLog から呼び出されるため、ステータスを確認できます)。問題は、今朝、画面のロックを解除しようとしたときに、システムが回転するビーチボールを出していたことです。私のスクリプトや kinit が何かをしている疑いがあります。マシンは ping 経由で利用できましたが、それ以外の場合は ssh または AFP に応答しませんでした。

だから私がしたいのは、画面がロックされているかどうか、またはスクリーンセーバーが有効になっているかどうかを検出することです。以前のバージョンの OS X では、ScreenSaverEngine がアクティブかどうかを grep で確認できましたが、現在はそうではないようです。

では、コマンドライン ツールを使用して、画面がロックされているかどうかを判断するにはどうすればよいでしょうか。画面がロックされている場合は、スクリプトを単純に終了させて​​、klist を気にしたり、kinit を実行したりしないようにします。今朝経験したロックアップを防ぐことができることを願っています。何か案は？

IISでASP.NetKerberosプロトコルとLDAPを使用して統合Windows認証を実装するにはどうすればよいですか？

認証に Kerberos を使用して tomcat JNDIRealm を実行しようとしています (authentication="GSSAPI")。

しかし、私はこれを得ています：

私はこれをserver.xmlに持っています:

ここで何が欠けているのか分かりますか?

WCFクライアントのクライアントエンドポイントの要素に関する多数の投稿や記事を読みましたが、まだ少し混乱しています。ネットtcpWCFサービスと通信しようとするとSSPIエラーが発生するクライアントがあります。ただし、以下を構成に追加すると、正常に機能します

私が読んだことから、これはKerberosではなくNTLMを使用するようにサービスに指示しています。しかし、私はまだそれを取得していません。

誰かが私のためにこれを簡単に説明するために少し時間がありますか？それで、ここで何が起こっているのか、NTLMとKerberosの違いについての少しの背景、なぜ一方が他方では機能しないのか、なぜこの要素が値を必要としないのか、サービスを必要としないように構成する方法それと、なぜそれが必要なのですか？

ありがとう

kerberos+Java の問題で私を助けてください。Kerberos を使用して Windows Active Directory に対して認証する単純な Java プログラムがあります。次の Java コードは問題なく正常に動作し、true- を出力します。

レルムと kdc を手動で指定する代わりに、krb5.conf ファイルへのパスを指定すると、「Null realm name (601) - default realm not specified」というエラーが発生します。以下はコードです-

krb5.conf の内容は次のとおりです。