問題タブ [ktpass]

ログイン時にKDCからAFSトークンとKerberosTGTを取得するためのpGinaプラグインを書いていますが、キーボードからの入力がない限り入力を提供できないというkinitの「機能」に気づきました。標準入力をリダイレクトするだけです...

誰かがプリンシパルにkeytabファイルを使用することを提案しましたが、これは非常に簡単に思えましたが、Linuxでkutilしか使用しておらず、Windowsバージョンのktpass.exeで問題が発生していることに気づきました。キータブを作成するために多数の引数の組み合わせを繰り返し試しましたが、これまでのところまったく成功していません。現在発行しているコマンドは次のとおりです。

ktpass /out key.tab /mapuser user$@MERP.EDU /princ user.merp.edu@MERP.EDU /crypto RC4-HMAC-NT /ptype KRB5_NT_PRINCIPAL /pass mahpasswordlol /target MERP.EDU

残念ながら、この出力はすべて

Using legacy password setting method

FAIL: ldap_bind_s failed: 0x31

私の調査によると、認証/暗号の問題はどれですか？他のDES設定で試しましたが、これも機能しないようです...これがどのように機能するかについての経験/アイデアはありますか？

Kerberos キータブ ファイルがあります。含まれているパスワードが私が想定しているものであることを確認する簡単な方法はありますか? 16 進エディターでファイルを確認したところ、 http: //www.gnu.org/software/shishi/manual/html_node/The-Keytab-Binary-File-Format.htmlで説明されている構造に従って、キーブロック含まれるタイプは、des-cbc-md5 の場合は 3、?? の場合は 1、arcfour-hmac-md5 の場合は 23、des3-cbc-sha1 の場合は 16、?? の場合は 17 です。

Windows Server 2003 で Ktpass を使用してキータブを作成しようとしています。

次のエラーが表示されます。

2 つの質問があります。

1)これは、Centos 6 上にある imap サービスを使用して Windows ユーザーへのシングル サインオンを実現するためのものです。 . Windows のお客様はすべて暗号化されたチケット rc4-hmac を持っていると思いますが、これでは機能しません。私の問題の 1 つがそこにあるのではないかと思います。

2)オプション rc4-hmac? を使用して、Windows Server 2003 を許可する方法があります。

助けてくれてありがとう。

ユーザーをサービスにマッピングする目的が何であるかを知りたいだけですktpass。たとえば、私は Windows を使用しており、次ktpassのように実行しています。

ktpass -out <keytab location> -princ <host/domain.com> -mapUser useraccount@domain.com -mapOp add .........

ユーザーを にマップすると、-princ「ユーザー アカウント」のみがサービスを認証できるということですか? -addand-setオプションはどのように使用するのでしょうか。違いはなんですか？

私の問題は次のとおりです。所有しているサービスを使用し、kerberos (JASS Krb5LoginModule) を介して認証したいユーザーが多数いますが、jaas.config ファイルで多くのユーザー プリンシパル名を指定したくありません。そのため、代わりに SPN を使用し、ユーザーをマッピングすることを考えています。

kerberos を使用してサービスのユーザーを認証しようとしています。を使用して SPN をユーザーにアタッチしましたsetspn -s HTTP/<hostname> <Username>。

次に、上記の SPN 接続ユーザーに対して ktpass コマンドを使用しました。しかし、生成されたキータブ ファイルには複数のエントリがあり、複数のキーが作成されているようです。

ここで何が問題なのですか？

ktpass コマンドの出力は次のとおりです。

キーが作成されました。

キーが作成されました。

キーが作成されました。

キーが作成されました。

キーが作成されました。

keytab を c:\tomcat.keytab に出力します。

キータブのバージョン: 0x502

1 台のサーバーに Kerberos 認証をセットアップすることができ、問題なく稼働しています。次のように、別のサーバーを Kerberos 構成に追加する必要があるプロジェクトがあります。

1) 広告サーバー

2) サービスが実行されている server1

3) 同じサービスが実行される server2

したがって、setspn コマンドを実行して、両方を単一の「spn」ユーザーに割り当てました。

setspn -s serviceX/server1.domain.com@DOMAIN.COM spn

setspn -s serviceX/server2.domain.com@DOMAIN.COM spn

次に、コマンド ktpass を実行しました。

ktpass -princ serviceX/server1.domain.com@DOMAIN.COM -ptype KRB5_NT_PRINCIPAL -crypto AES256-SHA1 -mapuser serviceX\spn -out C:\keytab +rndPass

それを機能させるには、次に何をすべきですか？server2 に対して ktpass を実行するには? server2 に対して同じコマンドを実行すると、警告が表示されます:

警告: UPN serviceX/server2.domain.com ptype 1 vno 10 etype 0x12 kinits を "serviceX/server2.domain.com" に設定できませんでした。失敗します。

同じサービスの kerberos 認証を別のサーバーでどのようにセットアップしますか? 2 つの spn ユーザーと 2 つのキータブを作成しますか? サービスで必要なため、すべてを 1 つのキータブに含める必要があると思います。何か助けはありますか？