所以我正在建立一个包含所有标准内容(文件、电子邮件等)的小型网络,我决定采用 Kerberos+LDAP 解决方案。关于 Heimdal 与 MIT 的任何想法或建议?
我以前使用过麻省理工学院,切向海姆达尔,但我真的不知道使用一个而不是另一个的真正原因。我只知道我不想意识到我宁愿在启动整个 Heimdal 并使用完整的用户数据库运行之后运行 MIT。
如果任何其他信息有用,我很乐意提供。
我们在 OS X 10.10 Yosemite 上运行 KDC,我们添加了一个用于远程访问(旧)主机的服务主体:
$ kadmin add -r host/a.b.c.d@REALM
由于主机仅支持des-cbc-crc密钥加密,因此我们尝试(未成功)添加以下内容:
$ kadmin add_enctype -r host/a.b.c.d@REALM des-cbc-crc
kadmin: bad enctype "des-cbc-crc"
认为默认情况下 DES 已(非常明智地)禁用,我们尝试将其置于allow_weak_crypto=true的[libdefaults]部分/var/db/krb5kdc/kdc.conf并重新启动该kdc过程,但无济于事。
折腾了好几个小时,但没有结果。当然苹果公司还没有编译的Kerberos任何对DES的支持?我们如何解决这个问题?
我的客户端/服务器都运行 Ubuntu 14.04 并且 kerberos 用户身份验证按预期工作。常规的 nfs4 安装也可以正常工作。所有机器都运行 heimdal 库。
我一直无法让 kerberized nfs4 工作。
挂载共享时,我在日志中收到以下条目:
Jun 22 11:25:13 SERVER rpc.svcgssd[7349]: leaving poll
Jun 22 11:25:13 SERVER rpc.svcgssd[7349]: handling null request
Jun 22 11:25:13 SERVER rpc.svcgssd[7349]: svcgssd_limit_krb5_enctypes: Calling gss_set_allowable_enctypes with 7 enctypes from the kernel
Jun 22 11:25:13 SERVER rpc.svcgssd[7349]: WARNING: gss_accept_sec_context failed
Jun 22 11:25:13 SERVER rpc.svcgssd[7349]: ERROR: GSS-API: error in handle_nullreq: gss_accept_sec_context(): GSS_S_FAILURE (Unspecified GSS failure. Minor code may provide more information) - Wrong principal in request …我们已经在有线网络上正确配置了 LDAP+Kerberos。
现在我们希望我们的用户使用他们的普通凭据登录到我们的 WiFi 网络。我发现了很多关于 LDAP+RADIUS 的 HOWTOS,但没有一个在包中提到 Kerberos。任何人都可以向我指出有关将 RADIUS 与 Kerberos 集成的良好 HOWTO 吗?我在 Usenet 上只找到了这篇简短的文章和一些非信息性的帖子。
编辑:系统是使用 OpenLDAP 和 Heimdal (Kerberos) 的 Gentoo Linux。WiFi 硬件是几个带有 OpenWRT 的 Linksys WRT54GL。