这是我从来没有真正能够像我喜欢的那样回答的问题: 在 IIS 中使用 Kerberos 身份验证而不是 NTLM 的真正优势是什么?
我看到很多人真的很难设置它(包括我自己),我一直无法找到使用它的充分理由。不过肯定有一些非常显着的优点,否则设置它就不值得所有的麻烦,对吧?
我现在已经与服务原则名称搏斗了几次,而微软的解释是不够的。我正在配置一个 IIS 应用程序以在我们的域上工作,看起来我的一些问题与我需要在运行托管我的站点的应用程序池的 Windows 服务帐户上配置特定于 http 的 SPN相关。
所有这一切让我意识到我只是没有完全理解服务类型(MSSQL、http、主机、termrv、wsman 等)、Kerberos 身份验证、活动目录计算机帐户(PCName$)、Windows 服务帐户、SPN 之间的关系,以及我用来尝试访问服务的用户帐户。
有人可以解释 Windows 服务原则名称 (SPN) 而不过度简化解释吗?
创意类比的加分点会引起中等经验的系统管理员/开发人员的共鸣。
security windows windows-server-2008 active-directory kerberos
我曾多次遇到过 SASL/GSSAPI 表达。我在 Google 上搜索了很多次,但我根本不明白它是什么以及它与 Kerberos 有何关系。
有人对此有一个简单的解释吗?
编辑:将其重新格式化为问答。如果有人可以将其从社区 Wiki 更改为典型问题,那也可能更合适。
如何针对 Active Directory 验证 OpenBSD?
假设我有四台电脑,Laptop、Server1、Server2、Kerberos 服务器:
描述所有重要的 SSH 和 KRB5 协议交换:“L 向 S1 发送用户名”,“K 向 S1 发送……”等。
(此问题旨在进行社区编辑;请为非专家读者改进它。)
显然,/dev/random 基于硬件中断或物理硬件的类似不可预测的方面。由于虚拟机没有物理硬件,因此cat /dev/random在虚拟机中运行不会产生任何结果。我使用 Ubuntu Server 11.04 作为主机和来宾,以及 libvirt/KVM。
我需要在 VM 中设置 Kerberos,但krb5_newrealm只是永远挂起“加载随机数据”,因为系统没有生成任何数据。
有谁知道如何解决这个问题?是否可以将主机的 /dev/random (非常健谈)传递到 vm 中,以便 vm 可以使用它的随机数据?
我读过有一些软件替代品,但它们不适合密码学,因为它们不够随机。
编辑:看起来 vm 上的 cat /dev/random 确实产生输出,只是非常非常缓慢。我在“加载随机数据”时等待了大约两个小时来设置我的领域。最终它足以继续。不过,我仍然对加速这一过程的方法感兴趣。
曾几何时,南美洲有一个美丽温暖的虚拟丛林,那里住着一个鱿鱼服务员。这是网络的感知图像:
<the Internet>
|
|
A | B
Users <---------> [squid-Server] <---> [LDAP-Server]
当Users请求访问 Internet 时,squid询问他们的姓名和护照,通过对他们进行身份验证LDAP,如果 ldap 批准了他们,那么他就授予了他们。
每个人都很高兴,直到一些嗅探器在用户和鱿鱼 [路径 A] 之间的路径中偷走了护照。这场灾难的发生是因为鱿鱼使用了Basic-Authentication方法。
丛林中的人们聚集在一起解决问题。一些兔子提供了使用NTLM方法。蛇更喜欢,Digest-Authentication而Kerberos树木则推荐。
毕竟,丛林人和所有人提供的许多解决方案都令人困惑!狮子决定结束这种局面。他喊出解决规则:
然后,一只猴子提供了一个非常合理、全面、聪明的解决方案,让他成为了新的丛林之王!
你能猜出解决方案是什么吗?
提示:squid和
之间的路径LDAP由狮子保护,因此解决方案不必固定它。
注意:对不起,如果故事无聊和混乱,但大部分都是真实的!=)
Run Code Online (Sandbox Code Playgroud)/~\/~\/~\ /\~/~\/~\/~\/~\ ((/~\/~\/~\/~\/~\)) (/~\/~\/~\/~\/~\/~\/~\) (//// ~ ~ \\\\) (\\\\( (0) (0) )////) (\\\\( __\-/__ )////) (\\\( /-\ )///) (\\\( (""""") )///) (\\\( \^^^/ )///) (\\\( )///) …
很少有(约 30 个)Linux (RHEL) 机器,我正在寻找集中且易于管理的解决方案,主要用于控制用户帐户。我熟悉 LDAP,并部署了 Red Hat (==FreeIPA) 的 IPA ver2 试点。
我知道理论上 IPA 提供了类似“MS Windows 域”的解决方案,但乍一看,它[还] 不是那么容易和成熟的产品。除了 SSO,是否有任何仅在 IPA 域中可用而在我使用 LDAP 时不可用的安全功能?
我对 IPA 域的 DNS 和 NTP 部分不感兴趣。
有可以使用的命令行程序吗?
这是我最近设置的东西,非常痛苦。我的环境正在让鱿鱼以无形的方式针对 Windows 2008 Server 对 Windows 7 客户端进行身份验证。NTLM 并不是一个真正的选项,因为使用它需要在每个客户端上更改注册表。
自 Windows 2000 以来,MS 一直在推荐 Kerberos,所以现在终于可以使用该程序了。
非常感谢 Squid 邮件列表的 Markus Moeller 帮助完成这项工作。
windows-server-2008 active-directory windows-7 kerberos squid