在Linux上使用Centrify将SPN设置为与UPN相同 - 腾讯云开发者社区

通常，Cloudera建议在与集群相同的子网上设置Active Directory域控制器（Microsoft服务器域服务），并且永远不要通过WAN连接进行设置。...将集群与Active Directory域控制器上运行的KDC分开会导致大量延迟，并影响集群性能。...此过程需要一些计划，因为要花费时间来获取这些许可证并将这些产品部署在集群上。当计算机加入AD域时，应注意确保身份管理产品不将服务主体名称（SPN）与主机主体相关联。...例如，默认情况下，Centrify将HTTP SPN与主机主体相关联。因此，当主机加入域时，应特别排除HTTP SPN。...这些帐户应将AD用户主体名称（UPN）设置为service/fqdn@REALM，并将服务主体名称（SPN）设置为service/fqdn。keytab文件中的主体名称应为帐户的UPN。

2.4K2 0

Cloudera安全认证概述

可以将复制的KDC配置为高可用性。这非常容易设置，特别是如果您使用Cloudera Manager Kerberos向导来自动创建和分发服务主体和密钥表文件。...通常，Cloudera建议在与集群相同的子网上设置Active Directory域控制器（Microsoft服务器域服务），并且永远不要通过WAN连接进行设置。...此过程需要一些计划，因为要花费时间来获取这些许可证并将这些产品部署在集群上。当计算机加入AD域时，应注意确保身份管理产品不将服务主体名称（SPN）与主机主体相关联。...例如，默认情况下，“集中化”将HTTP SPN与主机主体相关联。因此，当主机加入域时，应特别排除HTTP SPN。...这些帐户应将AD用户主体名称（UPN）设置为 service/fqdn@REALM，并将服务主体名称（SPN）设置为service/fqdn。keytab文件中的主体名称应为帐户的UPN。

2.9K1 0

您找到你想要的搜索结果了吗？

是的

没有找到

服务凭证（Service Credential）与服务身份（Service Identity）

前者被称为服务主体名（SPN：Service Principal Name，以下简称SPN），另一种被称为用户主体名（UPN：User Principal Name，以下简称UPN）。...WCF中的SPN和UPN的格式如下。...如果客户端预先指定SPN/UPN表示服务身份，它通过执行服务寄宿进程帐号对应的Windows凭证和SPN/UPN进行比较，从未确定服务运行在预先设定的机器或者某个域用户帐号下。...换句话会说，对于如下如下表示的DnsEndpointIdentity和SpnEndpointIdentity，在Windows认证下具有相同的认证效果。...由于IIS（IIS 6或之后版本）在Network Servier帐号下执行，所以默认会使用SPN作为服务身份标识（SPN中的Jinnan-Win7-X64为机器名称）。

1.2K8 0

没有 SPN 的 Kerberoasting

Kerberos 的核心是密钥分发中心 (KDC) 服务，它使用 88/tcp 和 88/udp 端口。在 Active Directory 环境中，它们安装在每个域控制器上。...只有在目标帐户的 Active Directory 中设置了 DONT_REQ_PREAUTH 标志时，它才会成功。...（总是与 Pass-The-Hash 攻击一起使用） DES：密钥直接从密码中计算出来在请求中使用客户端主体名称，KDC 尝试在 AD 数据库中查找客户端的帐户，提取其预先计算的 Kerberos 密钥...解析为同一个帐户的所有主体名称都是相同的如果您在 Kerberos 数据包中有一个 SPN 值，您可以将其替换为该 SPN 所属帐户的 SAM 帐户名称 (SAN) 值，并且不会有任何中断：带有...实际上，如果我们解密任何服务票证的加密部分，我们将看到它不包含任何 SPN：使用服务帐户的密码解密服务票的加密部分打印服务票据加密部分包含的信息服务票据的加密部分仅包含票据的会话密钥、元数据和验证用户的

1.3K4 0

本地帐户和活动目录帐户

域控上的本地帐户服务器在升级为域控后，其本地帐户会在活动目录中有对应的帐户，它们将存储在活动目录用户和计算机中的“Users”容器中。...服务器在升级为域控后，其本地普通用户将变为域普通用户，其本地管理员组administrators内的用户将升级为域管理员组Domain Admins内的用户，默认本地管理员administrator将升级为域默认管理员...有两种： UPN(User Principal Name)：如 zhangsan@xie.com 。UPN的格式与电子邮件账号相同，在整个林内，这个名称必须是唯一的。...在2.8章SPN服务主体名称中我们讲了Kerberos身份验证使用SPN来将服务实例和服务登录帐户相关联。因此，在域中所有的服务都有SPN，并且所有的服务都有服务帐户。...使用powershell脚本执行如下命令在域内机器上创建一个机器用户machine2，密码为root。 Import-Module .

1.7K3 0

linux网络编程系列（七）--如何将socket设置成非阻塞的，非阻塞socket与阻塞的socket在收发数据上的区别

生成socket时设置 socket函数创建socket默认是阻塞的，也可以增加选项将socket设置为非阻塞的： int s = socket(AF_INET, SOCK_STREAM | SOCK_NONBLOCK...使用fcntl设置将socket设置为非阻塞的 if ((nFlags = fcntl (nSock, F_GETFL, 0)) < 0) return 0; nFlags = nFlags...| O_NONBLOCK; if (fcntl (nSock, F_SETFL, nFlags) < 0) return 0; 将socket设置为阻塞的 if ((nFlags =...UDP发送(即sendto函数) 即使在阻塞模式下，sendto也不会阻塞，因为UDP并没有真正的发送缓冲区，它所做的只是将应用缓冲区数据拷贝给下层协议栈，加上UDP头、IP头等，实际是不存在阻塞的，...3.2 接收时的区别 3.2.1 TCP接收(即recv函数) 在阻塞模式下， recv将会阻塞，直到缓冲区里有至少一个字节才返回，当没有数据到来时，recv会一直阻塞或者直到超时，不会返回；在非阻塞模式下

3.5K3 0

Active Directory 域服务特权提升漏洞 CVE-2022–26923

从本质上讲，该漏洞允许普通域用户在通过 Active Directory 证书服务 (AD CS) 服务器将权限提升到域管理员。用户可以根据预定义的证书模板请求证书。...通过将Template_ntSecurityDescriptor设置为Input_ntSecurityDescriptor和Requester_SID等于Input_SID ，调用确定终端实体的注册权限中的处理规则来处理验证最终实体权限...7.如果使用的是3.1.5.2.1.2 SAN UPN 字段来进行证书映射的话，KDC会： KDC确认找到的帐户与在证书的UPN字段中使用 UPN 时找到的帐户匹配。...从实验数据来看，在申请的为USER模板时KDC使用的是UPNName 验证证书映射，在申请的证书使用的是Machine模板是使用的是DNSName映射。...不匹配 Machine模板攻击链第一步:伪造dNSHostName 值=DC 在计算机帐户没有 UPN,那么计算机帐户如何使用证书进行身份验证？

2.3K4 0

【神兵利器】红队Active Directory侦察利用工具

SharpADWS 能够在不直接与 LDAP 服务器通信的情况下提取或修改 Active Directory 数据。...ADWS 运行与 LDAP 完全不同的服务，可在 TCP 端口 9389 上使用，并使用 SOAP 协议作为其接口。...比如，在分析域控制器上的 LDAP 查询时，您可能会注意到查询源自 127.0.0.1日志，在许多情况下它们将被忽视协议实现 SharpADWS 实现了 MS-AD‍DM、MS-WSTIM 和 MS-WSDS...Put：修改对象上的一个或多个属性的内容。 Add：将指定的属性值添加到指定属性的值集中，如果目标对象上尚不存在该属性，则创建该属性。...Kerberoastable Kerberoastable method 的 list 能够查找出所有设置了 SPN 的账户，如下所示： C:\Users\Marcus>SharpADWS.exe Kerberoastable

830 0

域内横向移动分析及防御

将Administrator从Debug组中移除三、哈希传递攻击哈希传递PTH（Pass the Hash）攻击：在域环境中，用户登录计算机时使用的大都是域账号，大量计算机在安装时会使用相同的本地管理员账号和密码...dir命令时，必须使用主机名（使用IP地址就会导致错误）票据文件注入内存的默认有效时间为10小时在目标机器上不需要本地管理员权限即可进行票据传递五、PsExec PsExec是微软官方PsTools...身份验证服务中注册SPN，所以攻击者会直接向域控制器发送查询请求，获取其需要的服务的SPN，从而知晓其需要使用的服务资源在哪台机器上。...详细可参考：内网渗透 | SPN 与 Kerberoast 攻击讲解与之相关的还有一文了解黄金票据和白银票据防御：确保服务账号密码的长度超过25位确保密码的随机性（避免相同）定期修改密码十...查询（在安装Exchange时，SPN就被注册在AD中了） Exchange数据库的后缀为“.edb”，存储在Exchange服务器上，使用PowerShell可以查看相应信息 Exchange邮件的文件后缀为

1.6K1 1

SPN服务主体名称发现详解

如果客户端计算机身份验证请求包含有效的用户凭据和服务主体名称 (SPN)，则 Kerberos 身份验证服务器将授予一个票证以响应该请求。然后，客户端计算机使用该票证来访问网络资源。...还有一个VBS脚本也是该工具的一部分，可以为我们提供相同的信息。该脚本可以通过使用本机Windows二进制cscript从Windows命令提示符执行。...Sean将每个脚本绑定到一个特定的服务，具体取决于你想要发现的SPN。以下脚本将标识网络上的所有Microsoft SQL实例。...PowerShellery Scott Sutherland在将Get-SPN模块实现到Empire之前，已经创建了多个Powershell脚本作为PowerShellery的一部分，可以为各种服务收集...但是，无法使用基于token的身份验证，因此与Active Directory进行通信需要获取有效的域凭证。 .

2.8K0 0

Object-Centric：Faster Attend-Infer-Repeat 2019，场景理解建模思路2

当使用单维叶子时，这种边际化特别容易，因为在这种情况下，我们只需要将被边际化变量的叶子设置为1。模型分布取决于SPN结构（图）和其参数（求和权重和小叶子分布的参数），这两者都是学习的对象。...在AIR的设置中，我们事先不知道每个SPN将需要建模的数据集，这使得结构学习的应用变得复杂。为了证明我们的方法不依赖于领域知识指导SPN结构的选择，我们在提出的SuPAIR系统中使用RAT-SPNs。...物体i的视觉内容yi由RAT-SPN在一个A × A像素数组上生成。为了建模单个像素，我们在叶节点使用单变量高斯分布。...此外，与AIR不同，我们假设一个与画布大小相同的背景模型ybg，即B × B，也由具有高斯叶节点的RAT-SPN表示。我们将此密度记为ybg ∼ pbg(·)。...由于我们期望背景比物体在视觉上更简单，因此我们使背景-SPN更浅更窄，给它更少的空间来建模依赖关系。反过来，我们为其高斯叶节点设置了方差的下限，使其能够在低方差数据上获得更高的似然分数，比如黑色背景。

1291 0

敞开的地狱之门：Kerberos协议的滥用

例如用户“bob”在“bhusa.com”域中应该表示为bob@BHUSA.COM。服务主体名称（Service Principal Name，简称SPN）是用于域中的服务和计算机账户。...参考全限定主机名和仅主机名，一个服务可能注册为多个SPN。同通常是执行DNS查询来规范化主机名称。这就解释了DNS为什么是微软Kerberos环境中的一个必要组件。...然而，对于使用智能卡进行身份认证的账户来说，密码的散列值仍然存储在域控服务器上。此外，智能卡只能对“交互式会话（interactive sessions）”提供保护。...在MIT原始版本中，首先在明文口令中添加字符串username@DOMAIN.COM，然后经过散列运算生成长期密钥。使用用户名给密码加盐，能够为碰巧密码相同的不同用户生成不同的散列值。...与预认证唯一的不同之处是使用AES密钥加密时间戳而不是传统的RC4（即NT-Hash）。

2.6K9 0

SPN服务主体名称

Kerberos身份验证使用SPN将服务实例与服务登录帐户相关联。如果在整个林或域中的计算机上安装多个服务实例，则每个实例都必须具有自己的 SPN。...在 Kerberos 身份验证服务使用 SPN 对服务进行身份验证之前，必须在服务实例用于登录的帐户对象上注册 SPN。只能在一个帐户上注册给定的 SPN。...当找到该SPN记录后，用户会再次与KDC通信，将KDC发放的TGT作为身份凭据发送给KDC，并将需要访问的SPN发送给KDC。KDC中的TGS服务对TGT进行解密。...将SPN注册在域账号下运行如下命令使用-S参数或-U -S参数将SPN注册在域用户hack下： setspn -S SQLServer/win7.xie.com:1433/MSSQL hack 或...将SPN注册在机器账号下运行如下命令使用-S参数或-C -S参数将SPN注册在机器账号win7下： setspn -S SQLServer/win7.xie.com:1433/MSSQL win7

6052 0

SPN信息扫描

对于内置帐户，SPN将自动进行注册。但是，如果在域用户帐户下运行服务，则必须为要使用的帐户手动注册SPN。...因为域环境中每台服务器都需要在Kerberos身份验证服务注册SPN，所以我们可以直接向域控制器进行查询我们需要的服务的SPN，就可以找到我们需要使用的服务资源在哪台机器上。...Kerberos身份验证使用SPN将服务实例与服务登录帐户相关联。如果在整个域中的计算机上安装多个服务实例，则每个实例都必须具有自己的SPN。...当用户需要访问例如MSSQL服务时，系统会以当前用户身份向域控制器查询SPN为MSSQL的记录。...2.获取SPN方法我们可以使用以下但不限于这些方法：如使用Windows自带的setspn.exe获取SPN信息、Linux跨Windows的python场景使用Impacket获取SPN信息、通过

2401 0

红队笔记 - 横向移动

令牌可以从其他有会话的用户/在机器上运行的进程中冒充。...此属性包含允许在其上使用的 SPN s4u2proxy，即基于现有 TGS（通常是使用获得的s4u2self）为该服务器请求可转发 TGS 。这有效地定义了允许约束委派的后端服务。...开发如果我们破坏出现在后端服务的 RBCD 属性中的前端服务，则利用与上述约束委托相同。然而，这并不常见。...使用例如 BloodHound 查找在两个森林中都有帐户（具有相同用户名）的用户并尝试重用密码。此外，我们可以使用 BloodHound 或 PowerView 来寻找森林之间的外部组成员身份。...DC 上的 CIFS 服务作为我们源域的 DA（同样，只要此信任配置为存在）。

2.1K1 0

域控信息查看与操作一览表

nltest /user:"TestAdmin" #此命令将显示与以下类似的输出： WeiyiGeek....如果两者均未指定，则工具会在存在此类计算机时将 accountname解释为计算机名称，不存在时则解释为用户名。...-Q 将在每个目标域/林上执行。 -X 将返回存在于所有目标中的重复项。不要求 SPN 在各个林之间唯一，但重复项可能会导致在进行身份验证时出现身份验证问题。...注意: 可以与 -S 开关一起使用这些修饰符，以便在添加 SPN之前指定应在何处执行重复检查。注意: -T 可以指定多次。...# 方式1:启用并设置用户相同密码(永不过期) For /F "tokens=1" %%a in (user.txt) do dsquery user -samid %%a | dsmod user -

3.9K2 0

域控信息查看与操作一览表

nltest /user:"TestAdmin" #此命令将显示与以下类似的输出： ? WeiyiGeek....如果两者均未指定，则工具会在存在此类计算机时将 accountname解释为计算机名称，不存在时则解释为用户名。...-Q 将在每个目标域/林上执行。 -X 将返回存在于所有目标中的重复项。不要求 SPN 在各个林之间唯一，但重复项可能会导致在进行身份验证时出现身份验证问题。...注意: 可以与 -S 开关一起使用这些修饰符，以便在添加 SPN之前指定应在何处执行重复检查。注意: -T 可以指定多次。...# 方式1:启用并设置用户相同密码(永不过期) For /F "tokens=1" %%a in (user.txt) do dsquery user -samid %%a | dsmod user -

5.2K5 1

【深度分析】关于SPN不正确导致SQL数据库连接失败

注：从Windows Server 2003开始默认使用Kerberos认证方式，当网络上没有注册SPN时，就会使用NTLM认证方式，这个步骤叫做NTLM Fallback；如果网络上有注册SPN，但这个...SPN（Server Principal Name）1.SPN的组成SPN是服务器上所运行服务的唯一标示，每个使用Kerberos的服务都需要一个SPN，这样客户端才可以辨认这个服务。...-S”，因为“Setspn -S”在添加前会检查域内是否存在相同的SPN，防止重复的SPN注册在不同的账户下。...注：可以在域控中为特定账户添加注册SPN的权限，但官方不推荐这种做法。2....此时你实际上是在使用SQL Server那台计算机的同名帐户来访问SQL Server和相关的其他资源。因此SQL Server机器上该帐户的权限设置决定了客户端的操作权限。

1511 0

PLOS Biology：语言控制的功能连接组

在实验一中，研究人员假设言语产生网络(SPN)与静止状态(RSN)和音节产生网络(SylPN)相比，会在以感觉运动皮层为中心的紧密相连的局部网络中表现出增强的功能分离，重要的是，这些感觉运动中枢在言语产生...在音节产生和句子产生任务中使用了10.6s的长TR，其中8.6s为任务执行，2s为数据采集。在听觉辨别任务总使用了8.9s的长TR，其中6.9s为任务执行，2s为数据采集。...音节产出任务：被试被要求产出四个重复的音节/iʔi/，其中/i/的发音与‘green’和‘beer’中的元音发音一致，中间为一个声门闭/ʔ/音符，其后再跟一个与首音相同的/i/。...任务态数据预处理前先删除前两张图像，然后将所有的EPI数据使用AFNI中的heptic多项式插值（heptic polynomial interpolation）的方法配准到扫描时最接近高解剖分辨率的图像上...在接下来的听觉辨别任务的网络构建中，作者使用了相同的方法，来保证数据分析的一致性。 ?

6462 0

Exchange漏洞攻略来啦！！

domain_name,LDAP服务的SPN为ldap/domain_name,在Kerberos认证过程,客户端通过指定SPN让KDC知晓客户端请求访问的是哪个具体服务,并使用该服务对应的服务账号的密钥来对最终票据进行加密...由于2007基本已经不再使用,不过多讨论,2013及以上版本目前使用的与2013版本相同。...为减轻 Exchange 服务器上的工作负载,用户在使用 outlook 缓存模式时,客户端将优先查询本地 OAB 。但是 OAB 本身存在一定滞后性,默认每隔480分钟更新一次。...2、域内提权由于 Exchange 本身机制问题,在内网中,使用 CVE-2018-8581 漏洞,将管理员的 NTLM hash 中继到域控服务器上,就可以获得域管权限,实现域内提权。...因此,当已拥有合法邮箱凭证的前提下,可以利用该功能,为邮箱用户设置收件箱主页 URL 属性,将其指向包含恶意代码的页面,当用户在 Outlook 中浏览刷新收件箱时,将触发加载恶意页面,执行恶意脚本代码

6.7K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

CDP私有云基础版用户身份认证概述

Cloudera安全认证概述

服务凭证（Service Credential）与服务身份（Service Identity）

没有 SPN 的 Kerberoasting

本地帐户和活动目录帐户

linux网络编程系列（七）--如何将socket设置成非阻塞的，非阻塞socket与阻塞的socket在收发数据上的区别

Active Directory 域服务特权提升漏洞 CVE-2022–26923

【神兵利器】红队Active Directory侦察利用工具

域内横向移动分析及防御

SPN服务主体名称发现详解

Object-Centric：Faster Attend-Infer-Repeat 2019，场景理解建模思路2

敞开的地狱之门：Kerberos协议的滥用

SPN服务主体名称

SPN信息扫描

红队笔记 - 横向移动

域控信息查看与操作一览表

域控信息查看与操作一览表

【深度分析】关于SPN不正确导致SQL数据库连接失败

PLOS Biology：语言控制的功能连接组

Exchange漏洞攻略来啦！！

扫码

相关资讯

热门标签

活动推荐

运营活动

社区

活动

资源

关于

腾讯云开发者

热门产品

热门推荐

更多推荐