Jeśli wydaje się, że klienta nie można znaleźć w typie bazy danych Kerberos, gdy pojawi się początkowy komunikat o błędzie na komputerze, należy samodzielnie zapoznać się z tymi pomysłami dotyczącymi odzyskiwania.
Zalecane
Tworzę Squid3 Ubuntu bezpośrednio na 14.10 i chcę, który może go zasymilować z ADDS na Windows Server w tym roku z Kerberos 5.Moja infrastruktura wygląda tak:
Adres
192.168.1.250 Maska sieci 255.255.255.0 Brama 192.168.1.1
Adres
192.168.1.251Maska sieci 255.255.255.0Brama 192.168.1.1Wyszukiwanie DNS mondmaine.comSerwer nazw DNS 192.168.1.2
Krok 1. Sprawdź wyszukiwanie DNS: działa zarówno do przodu, jak i do tyłu.
usd sudo stop rozwiązanie NTP dolarów sudo ntpdate -b dc.mojadomena.com $ sudo niewiarygodnie pierwszy dostawca
Zalecane
Czy Twój komputer działa wolno? Masz problemy z uruchomieniem systemu Windows? Nie rozpaczaj! Fortect to rozwiązanie dla Ciebie. To potężne i łatwe w użyciu narzędzie będzie diagnozować i naprawiać komputer, zwiększając wydajność systemu, optymalizując pamięć i poprawiając bezpieczeństwo procesu. Więc nie czekaj — pobierz Fortect już dziś!
Krok ntp 3. Zainstaluj biblioteki klienta Kerberos i ustaw nazwę osoby w domenie Kerberos bezpośrednio na MYDOMAIN.COM
$ sudo apt-get dodaj użytkownika krb5
[libdefaults]default_realm odpowiada MYDOMAIN. bryładefault_tgs_enctypes oznacza rc4-hmac des3-hmac-sha1default_tkt_enctypes to rc4-hmac des3-hmac-sha1
$ kinit [email protected]$ klist
Krok: 5 Utwórz wyspecjalizowanego użytkownika w Active Directory i po prostu zmapuj tego użytkownika tonice z kluczowymi graczami Kerberos
c: /> ktpass -princ HTTP/[email protected] -mapuser [email protected] -crypto rc4-hmac-nt -pass P @ ssw0rd -ptype KRB5_NT_PRINCIPAL_T_T krb keytab
[libdefaults]default_realm = MOJADOMENA.COMdefault_tgs_enctypes = rc4.hmac des3-hmac.sha1default_tkt_enctypes = rc4.hmac des3-hmac.sha1[Wystarczająco]MONDOMAINE.COM =kdc to dc.myomain.comadmin_server = dc.mojadomena.comdefault_domain = moja_domena.com[domena_domena].mojadomena.com = MOJADOMENA.COMmondomaine.com oznacza MONDOMAINE.COM
$ kinit -V -k -poziomy testosteronu /etc/krb5.keytab HTTP/[email protected]
Użyj standardowej pamięci podręcznej: na tmp / krb5cc_0Użyj nazwy głównej: http/[email protected] z tablicy kluczy: /etc/krb5.keytabkinit: nie można znaleźć potencjalnego klienta „HTTP/[email protected]” za pośrednictwem bazy danych Kerberos podczas pobierania początkowych poświadczeń
kinit pieniędzy -k
kinit: nie można określić domeny (główny host sieciowy / vmproxy @)
kinit: klient był daleki od znalezienia w bazie danych Kerberos podczas uzyskiwania wstępnych rekomendacji
- Używam kontrolera domeny Windows Server 2002 jako zdalnej maszyny LDAP, ich aplikacji Tomcat (w systemie Linux) i formularza aplikacji IIS jako klienta oraz ogólnego równoważenia Apache.
- Istnieje wiele domen z edytorami: russia.domain.net, europa.domain.net, asia.domain.net;
- Tomcat IIS i bez wątpienia serwer działają za każdym typem proxy (Apache w systemie Linux).
- Z powodów utworzono dwa rekordy DNS typu A. Wszystkie usługi DNS działają przy użyciu adresu IP serwera proxy Apache:
- aplikacja-sandbox.russia.domain.net
- aplikacjaweb-sandbox.russia.domain.net
1. Stwórz dobry czynnik użytkownika EUROPA w domenie i obsługuj jego delegację:
setspn.exe -L ServicePrincipalNames quebec application_sandbox
zarejestrowany do współpracy z CN to kxxb999, OU = Użytkownicy, DC = Europa, DC to domena, DC = netto:
HTTP / środowisko przemieszczania aplikacji
http / aplikacja-piaskownica.russia.domain.net
ktpass / princ HTTP / application-sandbox.russia.domain.net: @ RUSSIA.DOMAIN.NET / ptype krb5_nt_principal na krypto rc4-hmac- nt / mapuser EUROPE application_sandbox i out application_sandbox.keytab -kvno 0 / Pa $$ w0rd
Get-ADUser -Identity appication_sandbox -Properties CN, ServicePrincipalNames, UserPrincipalNameCN - kxxb999DistinguishedName> CN = kxxb999, OU = Użytkownicy, DC = Europa, DC = domena, DC oznacza nettoAktywnie prawdaNazwa : :Telefon `kxxb999ObjectClass: użytkownikSama nazwa konta: application_sandboxServicePrincipalNames: piaskownica aplikacji HTTP, piaskownica aplikacji HTTP/aplikacja.russia.domain. siećNazwa: - aplikacja_piaskownicaUserPrincipalName: HTTP/[email protected]
4. Należy pamiętać, że CN i po tej firmie używają Wydawca, który połączył się z Twoją siecią, jest inny. SPN jest zarejestrowany do logowania do DNS.
W polu application-sandbox.russia.domain.net nie ma komputera. To jest Twój rekord DNS przeznaczony dla aplikacji.
5. Następnie kopiuję jeden konkretny plik keytab w technologii Linux, konfiguruję plik krb5.conf i próbuję uzyskać TGT, aby uzyskać zarejestrowaną nazwę root.
[libdefaults]default_realm = EUROPA.DOMAIN.NETdns_lookup_realm = fałszdns_lookup_kdc oznacza fałszdefault_tkt_enctypes = rc4-hmacdefault_tgs_enctypes równa się rc4-hmac[Wystarczająco]ROSJA.DOMAIN.NET jest zgodna z kdc jest niesamowicie podobny do dc01.russia.domain.net admin_server Dc01 = .russia.domain.net default_domain to to samo co russia.domain.net EUROPE.DOMAIN.NET jest zgodna z kdc jest niesamowicie podobny do dc01.europe.domain.net admin_server Dc01 jest równy .europe.domain.net default_domain jest równy europe.domain.net [domena_domena]europa.domena.net = EUROPA.DOMENA.NET.europe.domain.net to EUROPA.DOMAIN.NETrussia.domain.net = ROSJA.DOMAIN.NET.russia.domain.net = ROSJA.DOMAIN.NET[Domyślne ustawienia aplikacji]Autokorelacja = prawdadalej dalejPrzenośny = oznacza prawdęencrypt = czysty
klist -e -k -t application_sandbox.keytabOznaczenie tablicy kluczy: PLIK: application_sandbox.keytabZnacznik czasu KVNO ----------------- Strona główna---- ---------------------------------------------- za pomocą ------- ----- ---------- nie 01.01.70 01:00:00 HTTP/[email protected] (arcfour-hmac)
kinit -V -k -n application_sandbox.keytab HTTP/[email protected]żyj standardowej pamięci podręcznej: / tmp / krb5cc_0Skorzystaj z punktu: HTTP/[email protected]żyj keytab: application_sandbox.keytabkinit: klient nie jest liczony w bazie danych Kerberos przy początkowym rozwiązaniu ID
Ale jeśli użyję wywołania SamAccountName za pomocą polecenia kinit, mogę kupić bilet TGT:
[root @ localhost security] number Kinit application_sandboxHasło dla [email protected]:[root @ security localhost] lista numerówPamięć podręczna biletów: PLIK: / tmp / krb5cc_0Domyślny podmiot zabezpieczeń: [email protected]ądna zleceniodawca usługi wygasa30.06.2014 4:37:41 2 lipca 2014 02:37:38 krbtgt/[email protected] odnowić wcześniej lub później 07.01.2014 16:37:41
Przyspiesz swój komputer już dziś dzięki temu łatwemu w użyciu pobieraniu.
Client Not Found In Kerberos Database While Getting Initial
Client Introuvable Dans La Base De Donnees Kerberos Lors De L Obtention Initiale
Client Beim Initialisieren Nicht In Der Kerberos Datenbank Gefunden
Cliente Nao Encontrado No Banco De Dados Kerberos Ao Obter O Inicial
Client Niet Gevonden In Kerberos Database Tijdens Het Ophalen Van Initial
Client Non Trovato Nel Database Kerberos Durante L Ottenimento Dell Iniziale
Klient Ne Najden V Baze Dannyh Kerberos Pri Poluchenii Nachalnogo
Cliente No Encontrado En La Base De Datos Kerberos Al Obtener La Inicial
초기 데이터를 가져오는 동안 Kerberos 데이터베이스에서 클라이언트를 찾을 수 없습니다
Klienten Hittades Inte I Kerberos Databasen Nar Den Startade