针对 MIT Kerberos 5 验证 Windows 7

Question

我一直在绞尽脑汁试图让 Windows 7 对 MIT Kerberos 5 Realm（它在 Arch Linux 服务器上运行）进行身份验证。

我在服务器（又名 dc1）上完成了以下操作：

• 安装并配置了 NTP 时间服务器
• 安装和配置 DHCP 和 DNS（为域 tnet.loc 设置）
• 从源安装 Kerberos
• 设置数据库
• 配置密钥表
• 使用以下命令设置 ACL 文件：*@TNET.LOC *
• 为我的用户和我的机器添加了一个策略：

addpol 用户
管理员
addpol 主机
ank -policy 用户 tom@TNET.LOC
ank -policy admin tom/admin@TNET.LOC
ank -policy 主机主机/wdesk3.tnet.loc -pw MYPASSWORDHERE

然后我对 Windows 7 客户端（又名 wdesk3）执行以下操作：

• 确保 ip 地址是由我的 DHCP 服务器提供的，并且 dc1.tnet.loc ping ok
• 将互联网时间服务器设置为我的 linux 服务器（又名 dc1.tnet.loc）
• 使用 ksetup 配置领域：

ksetup /SetRealm TNET.LOC
ksetup /AddKdc dc1.tnet.loc
ksetip /SetComputerPassword MYPASSWORDHERE
ksetip /MapUser * *

• 经过一番谷歌搜索后，我发现 DES 加密在默认情况下被 Windows 7 禁用，我打开了策略以支持 Kerberos 上的 DES 加密
• 然后我重新启动了 Windows 客户端

但是，在完成所有这些操作后，我仍然无法从我的 Windows 客户端登录。:(

查看服务器上的日志；该请求看起来不错，一切正常，我认为问题在于 Windows 客户端无法识别来自 KDC 的响应，并且出现一般登录错误：“登录失败：用户名或密码无效”。

服务器的日志文件看起来像这样（我拖了这个，所以我知道它在 Windows 机器尝试登录时发生）：屏幕截图：http : //dl.dropbox.com/u/577250/email/login_attempt .png

如果我在登录窗口中提供无效领域，我会收到完全不同的错误消息，所以我不认为这是从客户端到服务器的连接问题？但是我在 Windows 机器上找不到任何错误日志？（有人知道这些在哪里吗？）

如果我尝试：runas /netonly /user:tom@TNET.LOC cmd.exe一切正常（虽然我没有在服务器日志中看到任何内容，所以我想知道它是否没有为此接触服务器？？） ，但如果我运行：runas /user:tom@TNET.LOC cmd.exe我得到相同的身份验证错误。

任何 Kerberos 专家都可以给我一些关于下一步尝试什么的想法？漂亮吗？

Answer 1

看看pGina。它没有 Kerberos 插件，因此您必须编写一个。或者，您可以使用 OpenLDAP 作为代理并使用 pGina LDAP 插件。