标签: kerberos

遵循有关使用 Firefox 进行 Windows 域身份验证的问题，FF 是否支持在 URI 中使用通配符？无论哪种方式，我都找不到任何提到支持的内容。

是否可以kinit向 Keychain 询问密码而不是我？

我正在尝试从 Fedora 16 挂载 NFS 共享。服务器是 Mac OS X Server，由我的同事设置。我相信它需要 Kerberos/LDAP 身份验证，所以我会开始（可能是艰巨的）弄清楚这一点的过程，但有些事情我不明白。

showmount -e SERVER给出预期的共享和 IP 权限，并且具有<krb5>.

# sudo mount -v SERVER:SHARE MNT 
mount: no type was given - I'll assume nfs because of the colon mount.nfs: timeout set for Wed Nov 28 15:10:32 2012 
mount.nfs: trying text-based options 'vers=4,addr=XXX.XXX.XXX.XXX,clientaddr=XXX.XXX.XXX.XXX' mount.nfs:
mount(2): Protocol not supported 
mount.nfs: trying text-based options 'addr=XXX.XXX.XXX.XXX' mount.nfs: prog 100003, trying vers=3, prot=6
mount.nfs: trying XXX.XXX.XXX.XXX prog 100003 vers 3 prot TCP port 2049 …

此FAQ 条目（以及RFC本身）指出，预身份验证解决了 Kerberos 初始实现中的一个弱点，该弱点使其容易受到离线字典攻击。

常见问题解答状态：

最简单的预身份验证形式称为 PA-ENC-TIMESTAMP。这只是使用用户密钥加密的当前时间戳。

如果攻击者设法嗅探包含此预身份验证数据的数据包，这是否也容易受到字典攻击？我有密文，我知道原始时间戳——这种情况有什么不同？

是否可以在 Mac OS X 上通过 Google Chrome 使用 Kerberized 网站？

如何在 Windows 7 工作站上安装或启用 ktpass.exe 实用程序？

我有一个 Samba 服务器（它是域控制器）和一个 Ubuntu 14.04 客户端，其登录用户通过 Kerberos 进行身份验证（客户端通过 Likely 加入域）。用户想要使用以下命令访问网络共享：

mount.cifs //DOMAIN/PATH /HOME/USER/PATH -o sec=krb5

但是使用（或不使用）'sec' 参数，mount 命令会提示输入密码。如果我输入密码，我可以挂载共享，但我想在没有密码的情况下挂载。

如何使用我的有效 Kerberous 票证进行操作？

我已经注册了 SPN，现在我想尝试获取它的门票。我知道有 linux kvno 可以做，windows 上有类似的吗？

我刚刚将我的 Mac OS 升级到 10.7 Lion。它以前运作良好。但是，kinit现在只能正常工作，我无法通过 ssh 连接到我的服务器。

重新安装“Mac OS X Kerberos Extras”后，情况并没有好转。

我的命令：

ssh root@10.3.18.211 -v

......

debug1: Authentications that can continue: gssapi-with-mic,password
debug1: Next authentication method: gssapi-with-mic
debug1:  Miscellaneous failure (see text)
UNKNOWN_SERVER while looking up 'host/10.3.18.211@3.18.211' (cached result, timeout in 1200 sec)

debug1:  An invalid name was supplied
unknown mech-code 0 for mech 1 2 752 43 14 2

debug1:  Miscellaneous failure (see text)
unknown mech-code 0 for mech 1 3 6 1 5 5 …

我尝试设置 Kerberos 服务器，但在配置消息方面遇到了某种问题。不幸的是，守护进程拒绝告诉我出了什么问题；它告诉我“查看日志文件”，但从未提及什么日志文件。

 # service krb5-kdc start
 krb5kdc: cannot initialize realm EXAMPLE.COM - see log file for details
 # ls /var/log/k*
 /var/log/kern.log
 # krb5kdc
 krb5kdc: cannot initialize realm EXAMPLE.COM - see log file for details
 # strace krb5kdc 2>&1 | grep write
 write(2, "krb5kdc: cannot initialize realm"..., 72krb5kdc: cannot initialize realm EXAMPLE.COM - see log file for details
 #

难道是在骗我吗？是否存在日志文件？

如何使用 kerberos 在 openssh 服务器上配置服务器范围的跨领域身份验证，而不必在 .k5login 文件中为两个领域添加原则？

我有一个基本问题。在工作中，我使用密码从我的工作机器登录到域。然后，一旦我登录，我就可以在 Outlook 中阅读邮件而无需输入任何密码。我的理解：

-- Outlook 连接到交换服务器（存储我的电子邮件或从存储它们的位置收集电子邮件）并获取我的电子邮件

-- 上面的认证是怎么做的？由于它不再要求我输入密码，因此它也必须在此处使用 Windows 登录身份验证。我知道实现单点登录的一种方法是 kerberization。kerberization 是这里出现的内容还是其他内容，而我的理解缺少某些内容？

谢谢，

另外：NTLM 有什么地方出现在这里吗？