kerberos

Ubuntu 22.04サーバーをWindows Active Directoryに参加させる方法
kerberos

Ubuntu 22.04サーバーをWindows Active Directoryに参加させる方法

Ubuntuで実行されている新しいサーバーがありますが、私たちの部門(OU)「med.abc.edu」を持つ既存のAD(「ad.xyz.edu」として識別されます)に参加したいと思います。今追加したいです。 med.abc.edu ユーザーを新しいサーバーに移動します。私たちのユーザー名は次のとおりです[Eメール保護]デフォルトドメイン名の使用 When users attempt to use Kerberos and specify a principal or user name without specifying what adminis...

Admin

設定
kerberos

設定

設定 kerberos.domain.intranetにはいくつかのデフォルトのKDC設定があります(これは私のイントラネットDNSにあります)。 xux.domain.intranetには他のマシンがあります(これはSSHのターゲットマシンです)。 host/xux.domain.intranetkadmin.localと次のコマンドを使用して、KDCシステムにサブジェクトを設定しました。ank -randkey host/[email protected] 次に、Aはサブジェクトのキータブを抽出し、パス内のキータブに送信します。ktadd -...

Admin

Kerberos チケットを更新します。 krenew は使用できません。
kerberos

Kerberos チケットを更新します。 krenew は使用できません。

私はLinuxに初めて触れました。 cronを介して毎日実行するシェルスクリプトがあります。有効なKerberosチケットを必要とするSQL Serverへの接続が必要です。チケットを実行する前にスクリプトにロジックを追加してチケットを更新したいのですが、私のコンピュータに「krenew」はありません。これを入力するとman krenew戻ってきますNo manual entry for krenew。コマンドは存在しません。インストールする必要があるパッケージがありますか?何か抜けましたか?削除された可能性がありますか? ...

Admin

Linuxでシステムアカウントを使用してコマンド/プログラムを実行する方法
kerberos

Linuxでシステムアカウントを使用してコマンド/プログラムを実行する方法

私の目標は、LDAP検索を実行し、gMSAアカウントのパスワードを取得することです。 Ubuntu仮想マシンがありますDev_Linux。 私のユーザーアカウントはですsja。 Dev_Linuxこのアカウントを使用してLDAP検索を実行したいと思います。私はこのアカウントをシステムアカウントまたはコンピュータアカウントと呼びます。 アカウントがsja許可されたプリンシパルとして追加されたら、パスワードを検索できました。私が意図した設定は、許可されたプリンシパルのホストグループにコンピュータアカウントを追加することです。したがって、コンピュータアカウント...

Admin

krb5.keytabエントリのサービスタイプは大文字でなければなりません。
kerberos

krb5.keytabエントリのサービスタイプは大文字でなければなりません。

LinuxサーバーをActive Directoryドメインに参加させるときに自動的に生成されるkeytabエントリに問題があります。まず、私のプロセスについて話しましょう。 必須Linuxパッケージのインストールyum install realmd pam sssd adcli oddjob oddjob-mkhomedir samba-common-tools krb5-workstation Active Directoryでコンピュータオブジェクトを作成し、関連SPNエントリ(servicePrincipalName)を追加します。 ドメイン登録の...

Admin

WindowsクライアントでKerberosを使用するSSH
kerberos

WindowsクライアントでKerberosを使用するSSH

SSSDを使用してActive Directoryに参加したUbuntu 22.04 LTSシステムがあります。すべてが大丈夫です。 ADユーザーを使用してLinuxサーバーにログインでき、ユーザーはログイン時にKerberosチケットなどを受け取ります。 クライアントがKerberosを使用してこのシステムにSSHで接続できるようにして、ログイン時にパスワードを入力する必要がないようにしたいと思います。 Ubuntuサーバーで、次のように/etc/ssh/sshd_configを編集しました。 GSSAPIAuthentication yes sshd ...

Admin

OpenSSH経由で認証し、1つのチケットサービス(Kerberos TGSホスト/fqdn)のみを使用してsudoを実行する方法
kerberos

OpenSSH経由で認証し、1つのチケットサービス(Kerberos TGSホスト/fqdn)のみを使用してsudoを実行する方法

これまで、私たちはすべてのサーバー(Debian 10〜12)でOpenSSH GSSAPI認証を使用していました。次に sudo -i を使用し、sssd-ldap で LDAP 認証を使用します。 OpenSSHとSudoの両方でLDAP認証を削除し、GSSAPIにのみ依存したいと思います。アイデアは、チケットサービスをOpenssh(host / fqdn)に渡し、資格情報キャッシュ(通常/tmp/krb5 ...)に保存し、TGSを維持してsudoを認証することです(GSSAPIでsudoを認証するためにpam_sss_gss .soを見つけました)...

Admin

Active Directory サーバーのデフォルトゲートウェイ解決の問題
kerberos

Active Directory サーバーのデフォルトゲートウェイ解決の問題

私はUbuntu ServerをSambaやKerberosなどを含むアクティブディレクトリドメインコントローラとして実行するRaspberry Pi 2を使用しています。詳しくはこちらをご覧ください。この動画。ドメインに属する3つのWindows 11 Professionalクライアントがあります。クライアントは同じネットワーク全体のサブネットマスクを使用して独自のIPアドレスで構成され、DNS設定はセカンダリ(バックアップDNSサーバー)をプライマリWi-Fiルーターとして使用してDCにルーティングされます(ネットワークドメインの外部デバイスによって使...

Admin

UbuntuにFreeipaクライアントをインストールする
kerberos

UbuntuにFreeipaクライアントをインストールする

Ubuntu VMにfreeipaクライアントをインストールしようとしていますが、次のエラーが発生します。 failed to obtain host tgt: major (458752): no credentials were supplied, or the credentials were unavailable or inaccessible, minor (2529639107): no credentials cache found インストールコマンド: ipa-client-install \ -U \ --domain="ex...

Admin

Kerberosを長期間管理しないとレンガになりますか?
kerberos

Kerberosを長期間管理しないとレンガになりますか?

奇妙な問題があります。 kerberos / openldap環境はレンガで覆われています。私が試しているすべての結果が、、SERVER_NOT_FOUND PERMISSION_DENIEDにINSUFFICIENT ACCESSさまざまに変更されるため、新しいユーザー、コンピュータ、またはその他の項目を追加することはできません。 CLIENT_NOT_FOUND Kerberos環境を変更していない場合(例:1年間)、これは通常発生しますか? その目的は、NFS共有を保護することです。これで、データを複製するために別のNFS共有を追加したいのですが、ど...

Admin

nfs/ プリンシパルを kinit できません。
kerberos

nfs/ プリンシパルを kinit できません。

NFSv4共有をマウントしようとしていますが、mountコマンドは共有をマウントする権限を取得できません。 共有をマウントしようとすると、次のメッセージが表示されます。 mount.nfs4: mount(2): Permission denied 以下を使用してnfsサブジェクトを初期化しようとすると、次のものが返されます。 kinit -k -t /etc/krb5.keytab nfs/[email protected] kinit: Client 'nfs/[email protected]' not found in Kerb...

Admin

kpasswdでパスワードを変更する方法は?
kerberos

kpasswdでパスワードを変更する方法は?

パスワードを変更すると、kpasswdKerberosサーバーに保存されているパスワードは変更されますか、それともOpenLDAPサーバーに保存されているパスワードが変更されますか? ...

Admin

モジュールRPCSEC_GSSが満たされていないチェックをスキップしました(ConditionPathExists = / etc / krb5.keytab)。
kerberos

モジュールRPCSEC_GSSが満たされていないチェックをスキップしました(ConditionPathExists = / etc / krb5.keytab)。

私は最悪の悪夢であるDebian Kerberosを使用しています。 Windows を使用して Active Directory をハイジャックすることもできなくなります。私はほぼ1年間このコンピュータでDebianを使用してきました。可能なリモートネットワークパスをサポートする設定はありません。 私は私のスタートアップジャーナルでこれを見たことがありません。私がこれをなぜ見ているのか? ...

Admin

FreeIPAで秘密を「封印」しますか?
kerberos

FreeIPAで秘密を「封印」しますか?

最近、私たちはLinuxホストでTPMを設定する方法を見ました。起動時に grub パラメータとカーネルがチェックサムされ、チェックサムが期待どおりの場合、TPM モジュールはルートファイルシステムとシステムのキーブートを解凍します。改ざんされた場合、キーは開かず、コンピュータは起動しません。良くて安全です。 同様に、FreeIPAサーバーに機密情報(TLS証明書キーまたはTLS証明書自体など)を保存し、ホストが認証された後にのみホストに渡したいと思います。目的は、nginxウェブサイト(Google「NGINXを使用してSSL秘密鍵を安全に配布する」)で説...

Admin

ホームディレクトリ用のAutofsは実際にはCIFSでは機能しません。
kerberos

ホームディレクトリ用のAutofsは実際にはCIFSでは機能しません。

CIFS共有から自動マウントされたホームディレクトリを操作しようとしながら、少し悲しい時間を費やしています。auto.masterこの行を追加しました /home/ /etc/auto.home 私は/etc/auto.home持っています * -fstype=cifs,rw,nounix,file_mode=0700,dir_mode=0700,multiuser,sec=krb5,user=${UID},cruid=${UID},gid=${GID},_netdev ://mysambashare/Users/& ただし、ユーザーが初...

Admin