在Linux上使用Centrify将SPN设置为与UPN相同
Centrify是一种用于身份管理和访问控制的解决方案,它可以帮助组织在Linux操作系统上实现单一登录和统一身份验证。SPN(Service Principal Name)是一种标识网络服务的名称,而UPN(User Principal Name)是用户的登录名。
在Linux上使用Centrify将SPN设置为与UPN相同,可以实现以下目标:
- 统一身份验证:通过将SPN设置为与UPN相同,用户可以使用其UPN作为身份验证凭据来访问网络服务,无需额外的身份验证步骤。
- 简化管理:通过Centrify,管理员可以集中管理用户的身份验证和访问权限,无需在每个服务上单独配置和管理。
- 提高安全性:Centrify提供了多种安全功能,如多因素身份验证、访问控制和审计日志,可以帮助组织提高系统的安全性。
- 提高用户体验:用户可以使用他们熟悉的UPN作为登录凭据,无需记住额外的SPN。
在Centrify中,可以通过以下步骤将SPN设置为与UPN相同:
- 安装和配置Centrify:根据Centrify的官方文档,安装和配置Centrify软件包。
- 配置用户身份验证:使用Centrify的管理工具,将用户的UPN与其SPN进行关联。这可以通过在Centrify管理控制台中选择用户,然后在属性设置中配置完成。
- 配置网络服务:使用Centrify的管理工具,将网络服务的SPN设置为与用户的UPN相同。这可以通过在Centrify管理控制台中选择网络服务,然后在属性设置中进行配置。
- 测试和验证:使用用户的UPN作为身份验证凭据,尝试访问配置了相同SPN的网络服务。确保身份验证成功并且可以正常访问服务。
腾讯云相关产品和产品介绍链接地址:
腾讯云身份管理(CAM):CAM是腾讯云提供的身份和访问管理服务,可以帮助用户管理和控制其云资源的访问权限。了解更多信息,请访问:https://cloud.tencent.com/product/cam
腾讯云安全中心:安全中心是腾讯云提供的安全管理和威胁检测服务,可以帮助用户保护其云环境的安全。了解更多信息,请访问:https://cloud.tencent.com/product/ssc
腾讯云服务器(CVM):CVM是腾讯云提供的弹性云服务器,可以在云上快速部署和扩展应用程序。了解更多信息,请访问:https://cloud.tencent.com/product/cvm
请注意,以上链接仅供参考,具体的产品选择应根据实际需求和情况进行评估。
相关·内容
您好,我正在linux环境中使用Centrify配置Kerberos。我对Windows更加熟悉。
我知道在Linux中使用MIT Kerberos时,我可以使用SPN作为UPN创建一个新帐户。这是使用Centrify时的相同过程吗?
浏览 16提问于2017-03-16得票数 2
回答已采纳
1回答
我现在正在用GSSAPI开发一个跨平台应用程序。虽然我不清楚UPN和SPN之间的区别。
开发环境是Samba4 CentOS 6.4上的AD服务器,而Windows 2008 R2是域中的成员框,比如EXAMPLE.COM (您可能很好奇为什么不直接使用Win2008作为DC。正如我前面所说的,应用程序是跨平台的,我现在在这个环境中进行测试。正常的Win DC-Linux设置运行良好。)我创建一个新的用户foobar:users来运行应用程序。当我使用foobar@EXAMPLE.COM (即UPN )对Kerberos验证应用程序时,我一直在接收
Kerberos:主体不能充当服务器错误
浏览 0提问于2013-08-14得票数 7
回答已采纳
1回答
目标
当将Linux盒与Windows域集成时,请澄清计算机,而不是用户。
背景
由于大多数SSSD AD信息侧重于用户身份验证,因此出现混淆,但显然在Windows域中,用户登录到的计算机已经在域中(作为服务主体?)。在我看来,我需要帮助才能找到真相。
问题-计算机要加入WindowsDomain.
我相信有几种方法。请建议以下是否正确。
在Linux框中运行境界。
在Linux (使用Samba创建主机密钥选项卡)中运行Samba。
在域控制器中运行setSPN和ktpass
关于使用王国和samba,我想这个命令也会将Linux框加入域和AD中。对不对?此外,请指出资源,以了解什么是背后
浏览 0提问于2018-09-29得票数 0
我想了解在Azure广告上下文中SPN和UPN之间的区别。我的理解是在Azure AD中有三种方法来建立身份
用户在用户名和密码中输入以建立身份
利用ClientId和密钥建立身份的应用程序
使用ClientId和证书建立身份的应用程序
用户/密码是否被称为UPN & rest 2被称为SPN?还有其他方法来建立身份吗?
浏览 0提问于2017-04-30得票数 5
回答已采纳
2回答
是否有人成功地使用Active Directory凭据而不是应用程序特定的用户名/密码来保护web服务?
我有一个用Axis2 1.5.1编写并部署在Tomcat6.0.24上、部署在Linux上的web服务的应用程序。
我已经将Tomcat从针对数据库进行身份验证的JDBCRealm更改为JAASRealm,配置为使用Centrify访问AD (客户端的首选解决方案)。
这适用于web应用程序,但对于web服务,我会得到403个响应。
我使用一个简单的Axis2服务(用Axis2 1.5.1编写)进行了测试,并针对Tomcat6.0.24和7.0.63进行了部署。我还尝试使用使用Axis2
浏览 2提问于2015-10-27得票数 0
回答已采纳
我们有一个非Kerberized集群,它需要访问中的服务。
非Kerberized集群与Kerberized集群通信的方式有哪些?
我们能不能
将Kerberized集群中的KDC配置为公共KDC?
通过安装和配置Kerberos,创建SPN和UPN等?
浏览 1提问于2018-04-18得票数 1
2回答
Kerberos和多个SPN
、、、、
我成功地为1台服务器设置了Kerberos身份验证,并且运行正常。现在我有了一个项目,在这个项目中,我必须向Kerberos配置添加另一个服务器,如下所示:
1) AD服务器
2)运行服务的server1
3)运行相同服务的server2
因此,我执行setspn命令,将这两个命令都释放给单个"spn“用户:
setspn -s serviceX/server1.domain.com@DOMAIN.COM spn
setspn -s serviceX/server2.domain.com@DOMAIN.COM spn
然后我执行逗号ktpass:
ktpass -princ servi
浏览 6提问于2017-09-13得票数 2
回答已采纳
1回答
红帽linux上的tc服务器我一直在尝试遵循这个示例: AD服务帐户设置setspn和ktpass执行命令以创建spn和keytab
如果我将mapuser选项与ktpass命令一起使用,并允许更改用户主体名称,那么它将适用于该spn。我无法将其配置为能够对一个AD服务ID使用多个spns。AD帐户已设置为委派。
jaas.conf片段
com.sun.security.jgss.krb5.initiate {
com.sun.security.auth.module.Krb5LoginModule required
useTicketCache=false
浏览 16提问于2014-09-12得票数 1
2回答
我有一个windows服务器,所有的客户机都是基于linux的(ubuntu11.10),我想在我的网络上设置组/域策略。
除了同样的建议以外,请提出其他建议-开放政策。如何在本地机器中应用组策略?
浏览 0提问于2011-12-28得票数 2
这可能很糟糕,但有没有人知道如何:
将用户窗口令牌(从域上进行身份验证)传递给被调用的wcf服务--然后该服务将根据发出调用的用户windows凭据执行一个操作。
ie: Client -> WCF ->,与活动目录集成的第三方存储库。
我有一个wcf数据层,负责返回所有数据--目前客户调用此服务。此服务从存储库检索文档。客户希望通过管理AD的所有帐户来实现这一点,因为存储库支持AD集成。
如有任何帮助,将不胜感激--谢谢:)
-我跟踪了杰泽尔的文章,但我仍然有问题。
我想使用upn而不是spn (以便帐户可以被锁定和更安全),但我不知道我有什么是错误的。
我在AD服务器上创建了s
浏览 5提问于2008-11-04得票数 0
回答已采纳
1回答
我使用Centrify作为我的IdP,并使用SAML SSO wordpress插件来验证我内部网上的用户。这可以很好地工作。
然而,我现在想做一个从内部网返回到Centrify的帖子,以提取一些数据显示在我的wordpress站点上。
是否可以将Centrify配置为将类似.ASPAUTH 的内容传递到wordpress站点,这样我就可以让它进行api调用?
浏览 2提问于2018-03-20得票数 0
我在通过SPNEGO从Web浏览器(Internet 11)到自定义Java应用服务器提供的Web服务进行身份验证时遇到了问题。
我可以使用自定义Java客户端应用程序使用SPNEGO成功地对同一个Application进行身份验证。
自定义Java客户端和应用程序服务器的实现细节可以在下面找到。
我怀疑来自Web浏览器的SPNEGO无法工作,因为:
a)来自Internet的令牌是有效的SPNEGO令牌吗?
Web浏览器提供的GSSAPI令牌与我的Java客户机提供的令牌不同,可能不是有效的SPNEGO / Kerberos令牌。Java客户端提供了以“协商YIMMQA.”开头的授权头。(O
浏览 0提问于2018-07-18得票数 4
回答已采纳
1回答
FILE_CENT="/etc/nsswitch.conf"
if [[ $OS = 'Linux' ]]; then
if [[ -e $FILE_CENT ]]; then
logInfo "nsswitch.conf found in $OS, Proceeding further..."
while read -r LINE
do
if [[ `echo $LINE | sed '/^passwd/'` ]]; then
myarrlin=($LINE)
logInfo &#
浏览 0提问于2018-08-08得票数 0
1回答
我对Kerberos协议很陌生
我们有一个客户,早在2020年,他就在使用一个域--让我们称它为customdom.itm,它有一个用于Kerberos委托的用户帐户krb-test-cd设置,并且这个域是域Active林itm的一部分。
由于他们是一家拥有来自不同国家的许多用户的大公司,他们也有另一个拥有许多子域(和域控制器)的巨大域AD林,作为这个森林的一部分,我们称之为top.abc。这里与我们相关的领域是aust.top.abc,它为Kerberos设置了krb-test-aust用户帐户。
由于itm和top.abc是不同的,因此对于两个krb用户来说,相同的servicePrinc
浏览 7提问于2021-01-29得票数 0
回答已采纳
2回答
我的办公室有一个电话销售小组,在古代硬件上运行Windows。出于显而易见的原因,我想尽快将他们从XP中移开。这些电话推销员完全依赖于基于网络的应用,所以我想为什么不使用Linux呢?它的免费和相对病毒的证明。我安装了Linux 17 LTS,并将其安装在一台机器上,并让一位电话推销员对其进行测试。它工作得很好,她说它比XP快。
我想将薄荷连接到Active Directory,似乎有很多选项,但我很困惑。我的大部分谷歌搜索都指向一个名为“同样开放”的产品,但似乎该产品已经停产。有些东西指向一个名为PowerBroker的产品,但它似乎是一种付费产品。
我还遇到了一个名为Centrify的产品
浏览 0提问于2014-07-12得票数 3
我对Kerberos身份验证的工作原理有相当多的了解,但我无法解释我在IIS托管的WCF服务中看到的奇怪行为。
我已经设置了一个非常简单的WCF应用程序,它使用带有TransportCredentialOnly的BasicHttpBinding公开一个端点。我的理解是,要使Kerberos正常工作,客户端必须指定用户主体名称或服务主体名称。由于某些原因,它在不同的绑定类型中似乎并不一致。
当我省略这个主体名称时,在IIS6上,最终将使用NTLM。在IIS7上,它使用Kerberos。当我在IIS6上指定一个用户主体名称时,将使用Kerberos,但在IIS7上调用失败(Wireshark在Ke
浏览 2提问于2012-01-13得票数 8
是否有人让他们的Linux系统通过Active Directory进行身份验证,而不使用同样的Open?
我们即将实现同样的Open,但是首先我们需要重命名110台Linux服务器中的大约70台,这样它们的主机名就不会超过15个字符。这是必需的,因为同样地,Open实际上将Linux连接到域,如果主机名太长,由于一些遗留的NetBIOS命名限制,它就不能这样做。
是否有一种通过AD进行身份验证的方法,可能只使用LDAP?
和仅仅使用同样的方法相比,这样做有什么好处/缺点呢?
浏览 0提问于2011-01-17得票数 3
回答已采纳
1回答
我正在尝试将一些RHEL6框添加到S2008R2域。的一部分是在AD中创建一个计算机帐户,然后向其中添加一个SPN。
几乎所有的指南都说您需要AD上的管理特权,但我没有这种权限。我想让Linux管理员在AD上获得最低限度的权限。有谁能告诉我,他们需要什么权利对目标OU这样做吗?
添加计算机对象是显而易见的,但是它们不能添加SPN。
如果我后退一步,从Linux端尝试它(使用net creatupn="host\jhgfjg"),那么它将添加对象,但再次没有添加SPN。
浏览 5提问于2013-01-15得票数 2
1回答
我正在使用kerberos使用ADFS2.0实现windows集成身份验证
我已经检查了所有的必需品
配置windows添加、ADFS2.0、DNS,在某些xyz.com域上运行
我有一个windows客户端连接到windows server xyz.com域。
以及Linux env上的security saml2-sampl应用程序。
所有这些域都是通过VLAN连接的。
为了启用windows身份验证,我已经配置了IE设置,启用了windows集成身份验证,添加了本地intranet配置
必填项。我引用了以下链接:
按照windows服务器上的kerberos配置,我已经配置了
s
浏览 4提问于2015-12-07得票数 0
回答已采纳
我编写了一个托管的WCF服务。部署或本地主机工作正常,我的客户端应用程序可以使用它。
如果我更改Windows的LogOn设置并设置域用户(从默认的"Local“更改),我的客户端应用程序就不能再使用该服务了。我得到的例外是
A call to SSPI failed
没有任何内部异常或任何细节。为了解决这个问题,我尝试在我的客户端应用程序请求中设置UPN,以便获得有效的服务名称检查。客户端可以通过代码在端点中设置标识:
string uri = "myServiceUri";
EndpointIdentity identity = EndpointIdentity.C
浏览 7提问于2012-07-24得票数 2
回答已采纳
1回答
我正在使用烹饪食谱中的执行资源。菜谱正在正常工作,而菜谱则要求cli。食谱不适用于cron的日程安排。我在下面发送错误日志;
* execute[DNS Recording with Centrify] action run
================================================================================
Error executing action `run` on resource 'execute[DNS Recording with Centrify]'
=
浏览 0提问于2020-11-29得票数 1
回答已采纳
2回答
我正在设置一个进程,它将自动为新公开的服务URL创建SPN。我知道如何使用带有右私密性的setspn -A命令在Windows中创建SPN。
当我的构建服务器在Linux上运行时,我想知道,除了登录到windows服务器和运行setspn之外,还有其他方法从Linux服务器创建SPN吗?
浏览 0提问于2016-04-15得票数 7
回答已采纳
我有很多UbuntuServer17.04主机必须连接到现有的Windows域(Windows 2016)。我以前从来没有这样做过,但是我知道实现这个目标的几种方法,比如: Centrify、SSSD和Winbind。
您能否分享您的一般经验,并告诉您这些解决方案的可靠性、易于配置/维护的程度?
如果你能分享任何关于这个主题的最新文章/手册的链接,那也是很棒的,因为我只能找到几个3到5岁的文章/手册,而且它们并不像预期的那样有效。
非常感谢你的帮助!
浏览 0提问于2017-04-21得票数 8
回答已采纳
我是Kerberos的新手,我不确定浏览器如何知道如何联系哪个KDC来获取HTTP服务的票证?
例如,我有一个运行在上的应用程序(SPNEGO),我的领域是example.com (我有一个linux服务器作为KDC服务器),将创建什么SPN,浏览器如何联系KDC?
浏览 32提问于2021-09-14得票数 0
1回答
我有大约三到四个企业移动应用程序,目标是一个组织的员工。我们希望实现类似SSO这样的东西,在这里您可以使用任何应用程序登录,其他应用程序不需要登录。另外,当您在任何一个应用程序中注销时,同样的情况也必须反映在其他应用程序中。
我试着在谷歌上搜索,我确信哪一种方法是实现相同的最佳方法。
Content :使用内容提供者,我们必须将其中一个应用程序作为主,为其他应用程序提供所需的数据。但是这里会引发一个关于的查询,如果卸载主应用程序会发生什么?
共享首选项:我还注意到,通过为应用程序定义用户I,应用程序可以访问其他应用程序共享首选项。但是这里我们再次使用了主的概念,它具有应用程序卸载的相同
浏览 3提问于2014-03-12得票数 2
环境:
在ES中配置的CentOS 7Active & Kibana 7.9.3Realms : Kerberos和ADKerberos authorization_realm: AD<code>F 211</code>
在主节点和数据节点上设置带有键标签的ES集群。我可以在所有节点上运行curl --negotiate -u : https://master-fqdn:9200/_security/_authenticate?pretty,并从AD获得一个很好的描述用户和组的JSON。在有Kerberos会话的任何Windows或Linux主机上,我都可以这样
浏览 7提问于2020-11-04得票数 0
我有一个方案,其中正在通过AD Connect从本地Active Directory到现有Azure AD执行同步。例如,我希望将云example@domain.com上的用户与本地用户example@domain.local同步。 根据微软关于AD连接的官方文档:“如果userPrincipalName属性的值不对应于Azure AD中的验证域,则同步过程将用默认的.onmicrosoft.com值替换后缀。” https://docs.microsoft.com/en-us/azure/active-directory/hybrid/howto-troubleshoot-upn-chan
浏览 37提问于2021-09-17得票数 0
回答已采纳
1回答
我有3台服务器都在运行Windows 2016数据中心:
Server1是一个域控制器,安装了ssms,用于访问Server2和Server3上的Server实例
Server2和Server3正在运行Server 2016 (SP1-CU3)
Server2有一个链接到Server3的服务器链接。
Server3有一个链接到Server2的服务器链接。
如果我登录到server2并运行一个select查询,该查询使用指向server3的链接
Select top 5 * from [Server3].[DB3].[dbo].[TableName]
它运行良好,并返回结果。
如果我登录到ser
浏览 0提问于2018-02-07得票数 1
回答已采纳
可以使用kadmin (Linux)从服务器添加/远程SPN吗?
我试图在我的Active服务器上添加一些服务原则,并将密钥存储在本地keytab中(在Linux机器上)。
浏览 0提问于2015-09-14得票数 1
删除新行并将其与前面的行连接
这是Cisco中show switch命令的部分示例输出。
Serial Number Name
---------------- ------------------
ABCDEFGHIJ1 XYZ_
SPN_01
ABCDEFGHIJ2 XYZ_
SPN_02
ABCDEFGHIJ3 XYZ_
SPN_03
我尝试了将下
浏览 0提问于2020-03-24得票数 1
回答已采纳
我试图连接一个SAML能力的应用程序作为SP到Mircrosoft Azure和Centrify作为国内流离失所者。SSO (单点登录)可以正常工作,但我在完成完整的单点登录过程时遇到了一些问题。
当用户单击SP内部的注销按钮时,将(有效)注销请求发送给IDP。IDP会话将按预期终止,但浏览器不会被重定向到SP以完成注销过程。LogoutResponse似乎完全失踪了。
关于Centrify的更新
正如Centrify的Nick所指出的(见下面的答案),Centrify目前不支持这个特性,但将在将来实现它。
关于Azure的更新
您必须提供一个“wreply”参数(包含用户在注销后应该重
浏览 6提问于2017-01-27得票数 2
回答已采纳
1回答
我有一个关于安装SQL server和SP2016开发场的问题。我可以安装两者,但我的老板问我关于在AD中安装SPN (服务主体名称)的问题。但我不知道为什么和如何将SPN与SQL和SharePoint链接起来。
我在网络上做了一些研究,得到了一些术语"Kerberos“,但我在NTLM中安装了SharePoint。帮助我理解为什么SPN在这种情况下是有用的。
浏览 0提问于2016-11-07得票数 0
回答已采纳
我的客户想要使用他们的Azure广告公共领域作为UPN后缀,他们的同步prem用户名。现在,用户与他们的prem后缀同步,例如,他们将subdomain.domain.com作为Azure AD的主自定义域,corp.local.com作为与其本地AD域匹配的验证自定义域。
我已经设置了AD连接,以便在prem用户上同步到Azure。最初,他们希望在prem登录上进行身份验证,所以我已经启用并安装了身份验证。
为本地域名将TXT记录添加到公共域。所以现在他们有3个自定义域1. subdomain.domain.com -验证-公共2.启用微软域的默认3. corp.local.com -验证
浏览 3提问于2019-09-09得票数 0
回答已采纳
我们有公司A AD森林(森林域a.com)和公司B AD森林(森林域b.com)连接的森林间信托和每一个与现场交换2010 SP3。
我们计划在混合环境中将两个Exchange迁移到一个单独的Office 365租户,使用多森林Azure AD连接将两个AD同步到Azure中的不同目录中。
a.com正在使用john.doe@a.com作为其UPN。
b.com正在使用john.doe@b.com作为其UPN。
现在,由于该2家公司正在合并其业务,我们正在探索一种可能性,即a.com和b.com的员工都可以使用与john.doe@c.com一样的UPN c.com来代替他们的UPN。
我知
浏览 0提问于2020-04-22得票数 0
1回答
所以..。这个问题可能不仅仅是一个编程问题,但我希望你们中的一个人能对我的问题有所了解: 在我们的软件中,我们的基本需求是查询用户也与LDAP关联的组。对于这个任务,我们实际上使用了LDAP Admin的一部分来查询用户。实际上,我们想要查询UserPrincipalName,至少据我所知,这是最常见的方式,对吧? 所以..。我们的问题是,AD的设置是这样的:用户有一个像foo@HUS这样的UPN,但用户实际上绑定到了域HUS.adomain.com (也就是LDAP base: dc=HUS,dc=adomain,dc=com),并且使用像foo@HUS.adomain.com这样的UPN
浏览 42提问于2021-08-02得票数 0
回答已采纳
我有一个Windows服务器,所有的客户机都是基于linux的(Ubuntu11.10),我想在我的网络上设置组/域策略。除了同样的建议以外,请提出其他建议-开放政策。或如何在本地机器中应用组策略。
浏览 0提问于2011-12-28得票数 2
我们正在尝试建立Azure广告连接,但我们似乎无法达到我们想要的情况。我们目前的情况是一个本地广告,我们为所有用户(以及所有外部用户)填写电子邮件字段。我们的管理员有一个正常的和一个管理帐户。管理员帐户的电子邮件对所有人都是一样的。我们没有连接到AD的Exchange,也没有建立ADFS的可能性。
我一直在尝试为管理员设置同步。因此,让我们假设以下情况:
SamAccountName:帐户1: Admin1UPN: admin1@company.comEmail: Admin@company.com
SamAccountName:帐户2: Admin2UPN: admin2@company
浏览 2提问于2019-11-04得票数 1
2回答
我对IIS配置有问题,所以至少我认为。
我有两个不同的服务器,其中一个是安装2011,在第二个服务器上,我有ASP.NET应用程序与MicrosoftDynamicsCRM2011Web服务进行对话。问题在于,我无法配置ASP.NET应用程序。
应用程序需要在以下几个方面工作:
我打开已启用windows授权的ASP.NET应用程序
我使用Active Directory用户登录,同时也是Dynamics 2011系统的用户
当我登录时,应用程序开始使用与我登录的凭证相同的凭据向Dynamics服务发送请求。
现在我的配置是:启用Windows授权,启用ASP.NET模拟,
浏览 2提问于2013-10-16得票数 0
回答已采纳
1回答
同样-未决问题
、、、
我在这个问题上挣扎了两天,这让我发疯了。我试图让我的Linux机器连接到Windows域,这样我就可以访问Internet,等等。
我已经解决了许多问题(例如,DNS_ERROR_BAD_PACKET 0x0000251e )。
然而,我现在得到的是:
ERROR_ACCESS_DENIED (0x0000005) after waiting for around 10 seconds.
当我引导到Windows 7时,我可以成功地加入域。
此外,我也找不出以上错误的意义。
我的问题如下:
这个错误意味着什么?登录凭据与Windows机器上的登录凭据相同。
有什么特别的东西我应该寻找连接到Wi
浏览 0提问于2013-01-03得票数 0
2回答
我有一个以上的PC连接局域网,我从服务器管理工作室访问。
当我试图连接到DB服务器时,如果我将服务器IP而不是服务器名放置在serverName字段中,它可以正常工作,并且我可以登录。
如果我使用服务器名,为什么登录失败?我怎样才能解决这个问题?
浏览 0提问于2012-01-29得票数 0
回答已采纳
在这种情况下,我试图利用GSSAPI (Kerberos)转发连接到另一个Linux服务器,该服务器也加入了Windows并使用SSSD。
Linux机器使用与服务器的实际FQDN不同的机器名称连接到域。当我使用域凭据登录到第一台计算机时,PAM成功,并向我颁发了一个有效的令牌。它与klist一起出现。但是,即使在另一个linux主机上启用了SSH上的GSSAPI和Kerberos登录之后,我仍然会得到“在kerberos数据库中找不到的服务器”客户端错误,并且返回到使用密码身份验证。我正在传递-K,以启用Kerberos令牌转发。
如果我的内存正常运行,这可能是由于AD中的SPN问题(本例中
浏览 0提问于2017-01-20得票数 3
4回答
我有两个用户对象(都来自不同的数据源)
public class UserA
{
String Firstname;
String Lastname;
String Upn;
String Id;
}
public class UserB
{
String Firstname;
String Lastname;
String Upn;
String MemberOf;
String SamAccountName
}
现在,用户X可能存在于这两个数据源中(或者仅仅存在于其中一个数据源中)。在这种情况下,字段upn将是相
浏览 1提问于2018-06-26得票数 1
回答已采纳
我的大多数客户都有一个拆分式AD环境,他们通过本地AD登录到他们的计算机,例如user1@domain1.net,并使用user1@fire.domain2.gov访问O365。UPN不匹配。Azure租户和Azure AD存在于O365 UPN上。 我们找到的唯一解决方法是将UPN fire.domain2.gov添加到本地AD对象或将O365帐户添加到本地域。有没有其他可行的变通方法,还有其他人遇到过这种情况吗?
浏览 29提问于2020-04-01得票数 0
3回答
我有3个web服务,都位于同一服务器上。
我的客户机调用服务A,它模拟客户机调用服务B,一切正常。
现在,我想要模拟服务B的调用者(这是我的用户名)来调用服务C。当我使用与前面相同的技术(AllowedImpersonationLevel = Impersonate,user.Impersonate())时,用户不会被传递给服务C。相反,服务C将该用户视为我在IIS中运行它的用户(这是一个UPN,而不是标准的网络服务帐户)。
我需要做什么特殊的事情才能让它工作吗?这是一个委托问题吗?(我认为这不是委派,因为它们都在同一台服务器上)
谢谢,所以!
浏览 0提问于2010-05-26得票数 3
回答已采纳
2回答
在我的系统中,我使用带有简单委托的Kerberos,使用集成Windows身份验证将AD用户凭据从网站转发到下游的HTTP服务。所有服务器都是Windows 2012 R2。
这个很好用。
当我开始对运行我的后端HTTP服务的服务器进行Powershell远程处理时,就会出现这个问题。Enter-PSSession对目标机器上的WSMan服务发出Kerberos请求。AD会看到这个请求,并使用我的自定义HTTP服务运行的标识对请求的票据进行加密,WSMan服务显然无法使用该身份,而且远程处理失败。
我知道强制IE执行特定端口的SPN请求(通过)是可能的,但我还不能让第二跳(即IIS代理请求)执
浏览 5提问于2013-10-17得票数 0
回答已采纳
我们使用Java Kerberos身份验证从Linux连接到SQL Server DB。在这里,我们使用了主用户名和密码在Linux系统上生成密钥表文件。目前,连接工作正常。
但是有一个额外的要求使用过期的密码,它每3个月过期一次。在我们的其他应用程序中,我们使用一个名为CyberArk的应用程序接口,它从保险库中检索密码,并且Ops团队不需要在位于Linux系统上的应用程序服务器上更改密码。
有没有人有在这样的环境中使用Kerberos的经验?我们基本上是在考虑避免每次密码过期时重新生成密钥表文件。
浏览 9提问于2017-05-02得票数 2
2回答
因此,我们有一个小应用程序,指向2008年SSRS服务器上的报告。
这个应用程序正常工作,但由于我们增加了更多的网站到服务器,我们已经改变了web应用绑定到一些东西不是服务器的名称。
这使我们得到以下情况:
目标主体名称不正确的描述:在执行当前web请求期间发生了未处理的异常。请查看堆栈跟踪以获得有关错误的更多信息,以及它起源于代码的位置。
异常详细信息: System.ComponentModel.Win32Exception:目标主体名称不正确
源错误:
在执行当前web请求期间生成一个未处理的异常。有关异常的起源和位置的信息可以使用下面的异常堆栈跟踪来标识。
堆栈跟踪:
System.
浏览 5提问于2016-09-06得票数 3
回答已采纳
我需要在云托管应用程序中使用Centrify for SSO。我关注了很多论坛(),都不清楚需要做什么。
我可以在启用了NTML身份验证方法的自定义应用程序下创建应用程序。但是不知道我的客户端应用程序将如何使用它。
请让我知道我需要分享更多的细节,以获得帮助,在我的应用程序中集成Centrify。
浏览 9提问于2017-10-13得票数 0
1回答
我正在尝试编写一个执行Kerberos委托的概念验证应用程序。我已经写好了所有的代码,而且看起来还可以工作(我正在进行身份验证),但是生成的安全上下文没有设置ISC_REQ_DELEGATE标志。
所以我在想,也许其中一个端点(客户端或服务器)被禁止委托。但是,我并不是针对SPN进行身份验证。只有一个域用户对另一个域用户。作为InitializeSecurityContext()的SPN,我传递了"someuser@mydomain.lan“(它是运行服务器应用程序的用户帐户)。据我所知,域用户默认情况下启用了委派。无论如何,我要求管理员检查,“帐户是敏感的,不能被委派”复选框关闭。
浏览 2提问于2010-03-15得票数 1
3回答
我有一个域用户帐户(比方说,在mydomain.com中),它被设置为多台机器上大量Server 2005实例的登录帐户。我希望信任此域帐户(而不是机器帐户)进行委托,主要是通过链接服务器在SQL服务器之间执行2跳身份验证。将将链接的服务器安全性配置为使用现有连接的上下文,并且所有server实例都在所述域帐户的上下文下运行。
为了便于讨论,这将是SQL实例的实例名称: svra (默认sql实例) svra\inst2 (命名sql实例) svrb (默认sql实例)
那么,我想在Active Directory中注册的SPN是MSSQLSvc/svra.mydomain.com:1433
浏览 0提问于2009-05-04得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
