kerberos linux 账号,使用AD / Kerberos进行身份验证/授权的Linux服务器是否需要计算机帐户?...

最新推荐文章于 2022-10-09 17:30:30 发布
最新推荐文章于 2022-10-09 17:30:30 发布
阅读量359 收藏
点赞数
文章标签: kerberos linux 账号

这里有两个不同的考虑因素:

1)身份验证(密码验证)

2)授权(身份映射/组成员资格等)

对于客户:

您可以通过匿名客户端(无域加入/主机信用)通过Kerberos进行身份验证(密码检查).但是,您无法使用host-creds(/etc/krb5.keytab)执行GSSAPI SSO和KDC验证.

对于授权,您需要能够对AD-DC进行LDAP绑定/查找.

通常,AD不允许匿名LDAP绑定,因此您需要某种客户端凭据.要么明确创建&维护服务帐户或主机信用(由域加入创建/维护).

在ldap.conf或sssd.conf文件中,您可以列出显式服务帐户信用或告诉它使用host-creds.

如果您有主机信用并在sssd中使用’ad’id_provider,您将获得诸如自动主机信誉维护等优势.

请注意,如果要将AD用于授权服务,则需要将rfc2307样式信息(EG uidNumber,gidNumber等)添加到要在Unix / Linux客户端上使用的每个用户帐户.

对于服务器:

如果他们要提供任何基于Kerberized / GSSAPI的服务,那么他们必须拥有主机信用(加入域)并在AD的计算机帐户中拥有有效的UPN / SPN记录.将AD视为提供Kerberos KDC功能.

例如:如果你有一个Kerberized NFSv4文件服务器,那么不仅需要一个“host / F.Q.D.N”SPN账号中需要一个“nfs / F.Q.D.N”SPN.在服务器上的krb5.keytab文件中.

Mac老朱
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kerberos认证过程,AD域认证
06-12
Authentication解决的是“如何证明某个人确确实实就是他或她所声称的那个人”的问题。对于如何进行Authentication,我们采用这样的方法:如果一个秘密(secret)仅仅存在于A和B,那么有个人对B声称自己就是A,B通过让A提供这个秘密来证明这个人就是他或她所声称的A。这个过程实际上涉及到3个重要的关于Authentication的方面: Secret如何表示。 A如何向B提供Secret。 B如何识别Secret。
linuxkerberos教程
weixin_34167819的博客
03-09 244
一、kerberos介绍         Kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”系统设计上采用客户端/服务器结构与DES加密技术,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止replay攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。支持SSO 二、kerberos三方安全认证协议   1、Kerber...
自动化运维之 Kerberos 账号信息管理平台
weixin_33827965的博客
05-26 379
公司的自动化项目之一公司的服务器超多,需要一个用来管理服务器权限的系统。主要是实现 用一个账号,可以让你登录所有的服务器,也可以让你身无无分文。就是这样的一个操作的平台。5-25 数据库的展现已经做完~    下一步把最多ip和账号给显示出来 加载了 chosen 引起了 右下角的点击关闭 把他的js去掉就行了 改变了用户的登录的方式,把session改成cookies 查到的数据,打印到表格里面...
关于linux账户的提权、免密sudo和 kerberos联动
rav009的专栏
08-26 315
linux普通用户获取root级别权限,有两种方法: 一个提权,即编辑 /etc/passwd,把自己的uid改成0,uid可以直接用命令id查看 还一个sudo,即编辑 /etc/sudoer(等效于命令 visudo),把自己加入到可以sudo的用户列表,还可以配置免密sudo 另外在有配置kerberos体系的系统中,理论上每个linux用户在kinit后应该有独立的kerberos账号,如果该linux账号是经过“提权”的,可能会发生kerberos账号被串用的情况 ...
详解:Kerberos身份验证技术.docx
10-30
本主题将说明Kerberos身份验证是什么以及Windows Server 2003支持的Kerberos V5协议和扩展如何工作。 在这个主题 什么是Kerberos身份验证Kerberos版本5身份验证协议的工作原理 Kerberos身份验证工具和设置
Windows-Server-AD-Kerberos-LDAP.zip_AD kerberos_AD ldap_Kerberos
09-24
Java开发者在处理AD时,可能需要使用Java LDAP库(如JNDI)来与AD进行交互,实现用户的目录查询和身份验证。 总结来说,Windows Server AD结合Kerberos和LDAP协议,为企业提供了强大且安全的身份管理和网络资源访问...
Python库 | urllib2_kerberos-0.1.3.linux-x86_64.tar.gz
05-24
资源分类:Python库 所属语言:Python 资源全名:urllib2_kerberos-0.1.3.linux-x86_64.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
JAAS.rar_Action!_Jaas Kerber_jaas KERBEROS_kerberos Java_login.a
09-24
Kerberos是一种广泛使用的网络身份验证协议,它提供了强大的安全性,通过一次性密码(或票证)确保通信的安全。 1. **JAAS简介**:JAAS是Java平台的一部分,提供了一种框架来集成各种认证机制,如用户名/密码、证书...
利用Kerberos增强Linux用户注册安全性的探讨.pdf
09-07
2. **一次性票证**:Kerberos使用一次性票证(Ticket-Granting Ticket, TGT)进行身份验证,票证在成功认证后发放,并在一定时间内有效,之后必须重新验证,增加了安全性。 3. **密钥分发**:Kerberos服务器负责...
LINUX下的kerberos的安装配置
05-05
kerberos是由mit开发的提供网络认证的系统。使用kerberos自己提供的ktelnetd、krlogind、krshd来替换传统的telnetd、rlogind、rshd服务。
Kerberoslinux安装部署
11
10-09 3556
kerberoslinux环境安装部署 参考博客: https://zhuanlan.zhihu.com/p/425769862 https://blog.csdn.net/Michaelwubo/article/details/109621044
Linux LDAP安装部署集成kerberos
wangkuangood3200的专栏
09-12 866
一、概述 由于Hadoop安全模块不存储用户和用户组信息,同时在集群开启kerberos认证后,需要映射Kerberos Principle到linux的用户及用户组,统一管理用户信息的方式有OpenLDAP和AD,而AD是部署在Windows上的,本文主要介绍在linux环境下OpenLDAP的安装及部署。 二、Server端安装与配置 2.1 安装介质 $ yum install ...
如何在CDH启用ADKerberos
小陌成长之路
04-14 611
如何在CDH启用ADKerberos
0420-如何为CDH集成Active Directory的Kerberos认证
Hadoop_SC的博客
03-07 660
温馨提示:如果使用电脑查看图片不清晰,可以使用手机打开文章单击文中的图片放大查看高清原图。 Fayson的github: https://github.com/fayson/cdhproject 提示:代码块部分可以左右滑动查看噢 1.文档编写目的 在前面Fayson介绍了多篇关于Window Server上安装的Active Directory服务,由于Active Directory服务...
使用kerberos实现windowsAD账户和linuxsamba服务的结合
weixin_34221773的博客
01-05 1346
使用Active Directory来进行身份认证,主要是通过linux下的kerberos服务器来认证windows下的用户,达到windows AD域用户在linux下的使用,实现windows域控下的账户在linux各种服务上认证,同一管理账号,方便samba、postfix、FTP等。如使用AD域下的aa账户登录linux下的samba(aa的samba目录)或ft...
【转】谈谈基于Kerberos的Windows Network Authentication
cheran的专栏
12-13 1105
http://www.cnblogs.com/artech/archive/2007/07/07/809545.html Content: 基本原理 引入Key Distribution: KServer-Client从何而来 引入Authenticator : 为有效的证明自己提供证据 引入Ticket Granting  Service:如何获得Ticket Kerbe
CAS采用Spnego认证方式通过KerberosAD域整合
Jcbay的专栏
07-08 1448
一:前言 这次主要是介绍如何通过配置,使已经登录到域的域用户,在访问CAS_Client的时候,不需要再次去CAS服务端认证的配置文档。是只针对已经掌握如何配置Windows_AD和CAS_SSO的相关人员。配置Windows_AD和CAS_SSO的方法请参考其它手册,本文不再讲述如何配置Windows_AD和CAS_SSO。 本人所讲述的配置都是在Windows_AD和CAS_SSO已经配...
AD认证:Kerberos 和 NTLM
b10d9的博客
02-07 3707
AD认证主要用到两种协议:Kerberos 和 NTLM NTLM 认证过程如下: client本地生成NTLM hash,值为用户密码的hash值。 client发送用户名给应用服务器。 应用服务器随机生成一个值给client,这个值通常叫nonce或challenge。 client用NTLM hash对nonce进行加密,并发送给应用服务器。 应用服务器收到后,连同用户名和nonce一并发送给AD服务器AD根据该用户的密码生成NTLM
详述如何在Linux上配置Kerberos服务并使用Kerberos身份认证
最新发布
06-01
好的,我来为你详细介绍如何在Linux上配置Kerberos服务并使用Kerberos身份认证。 1. 安装Kerberos软件包 在Linux系统上安装Kerberos软件包。以Ubuntu为例,可以使用以下命令: ``` sudo apt-get install krb5-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值