Estoy escribiendo una pGina plugin para obtener AFS Fichas y una Kerberos TGT de nuestro KDC al iniciar la sesión, mientras escribía me di cuenta de una «función» de kinit ser que no lo puedo dejar de proporcionar cualquier tipo de entrada, a menos que su desde el teclado, no fue mi idea de redirigir la entrada estándar…

Alguien sugiere el uso de un archivo keytab para el director, que parecía muy fácil, hasta que me di cuenta de que sólo había utilizado kutil en linux y estoy teniendo dificultades con la versión de Windows de la que es ktpass.exe. He intentado en repetidas ocasiones con un gran número de combinaciones de argumentos para crear una clave pero no he tenido absolutamente ningún éxito hasta el momento, el comando actual estoy de emisión es:

ktpass /out key.tab /mapuser [email protected] /princ [email protected] /crypto RC4-HMAC-NT /ptype KRB5_NT_PRINCIPAL /pass mahpasswordlol /target MERP.EDU

Por desgracia todo esto salidas es

Using legacy password setting method

FAIL: ldap_bind_s failed: 0x31

Que según mi investigación, es una de autenticación/crypto problema, he probado con las otras DES de configuración, pero esto no parece funcionar… alguien tiene alguna experiencia/ideas sobre cómo podría funcionar esto?

DES está deshabilitada de forma predeterminada en Windows 2008 R2 de Active Directory y de arriba. Esto puede haber sido el problema en particular que la parte delantera de la espalda, a continuación, cuando la probé.

OriginalEl autor rolands | 2012-06-07

1 Comentario

  1. 10

    ktpass.exe es realmente terrible; yo no lo uso. En su lugar, sólo tiene que utilizar ktutil en Unix para crear una coincidencia de clave de forma independiente utilizando la contraseña, por ejemplo:

    $ ktutil
    ktutil:  addent -password -p [email protected] -k 1 -e aes128-cts-hmac-sha1-96
    Password for [email protected]:
    ktutil:  l
    slot KVNO Principal
    ---- ---- ---------------------------------------------------------------------
       1    1                                  [email protected]
    ktutil:  wkt /tmp/zz
    $ klist -ek /tmp/zz
    Keytab name: WRFILE:/tmp/zz
    KVNO Principal
    ---- --------------------------------------------------------------------------
       1 [email protected] (aes128-cts-hmac-sha1-96)
    

    El enlace LDAP de error indica que ktpass no puede autenticar a que el controlador de dominio; usted ha iniciado sesión en una cuenta de dominio cuando esto sucede? Tiene que ser una cuenta de dominio, en lugar de uno local (y debe ser autorizado para realizar los cambios necesarios a la EA, aunque carece de justo que daría un error de permiso en lugar de enlazar).

    FWIW, tomamos un enfoque diferente a este: utilizamos cross-realm confianza entre nuestros Unix y AD reinos. El ANUNCIO TGT que recibe el usuario al iniciar sesión en es entonces suficiente para adquirir las credenciales para los servicios en el Unix reino; por ejemplo, puedo usar PuTTY SSH en un host Unix, Firefox/Chrome/IE para autenticar a Unix servicios web (Apache/mod_auth_kerb), etc.

    Cuando se utiliza la cruz de confianza, ¿superposición de UNIX y de WINDOWS nombres DNS o tienen que crear un subdominio para encerrar sus hosts UNIX?
    La nuestra se superponen; es decir, no hay una simple regla que se puede distinguir los nombres de los hosts en los dos reinos. Sin embargo, recomiendo el uso de dominios que no se superponen para cada uno, si eso es factible, por ejemplo,*.WIN.FOO.COM y****.UNIX.FOO.COM; nuestra configuración mixta es el resultado de la infraestructura de la herencia que no podemos cambiar ahora. La configuración mixta, requiere una gran cantidad de complejidad en la forma de referencias y/o de dominio estático/configuración de reino en ambos lados, con el fin de garantizar que todas las solicitudes de vales de llegar al lugar correcto. He utilizado distintos dominios en un nuevo despliegue recientemente, para evitar todo eso.

    OriginalEl autor Richard E. Silverman

Dejar respuesta

Please enter your comment!
Please enter your name here