zu verwenden Ich verwende Kerberos mit Hadoop-Umgebung, und ich verwende Keytab-Datei, um verschiedene Benutzer zu authentifizieren. Jetzt habe ich einige Benutzer zu ihnen, ich muss ihnen allen das gleiche Privileg geben.
Also habe ich eine Benutzergruppe erstellt und eine generische Keytab-Datei für diese Active Directory-Gruppe generiert, konnte aber die Keytab-Datei nicht überprüfen. Es gibt mir einen Fehler, wie unten erwähnt:
kinit: Client ‚[email protected]‘ nicht in Kerberos-Datenbank gefunden, während anfängliche Anmeldeinformationen erhalten
Nun ist die Frage, gibt es die Möglichkeit eine Keytab-Datei für die Gruppe zu verwenden, im active directory oder sollte ich auf andere weise dasselbe erreichen?Ist es möglich, ein Keytab für Benutzergruppe in AD
Antwort
Sie müssen nur eine Schlüsseltabelle auf dem Anwendungsserver platzieren, um die Kerberos-SSO-Authentifizierung erfolgreich durchzuführen, nicht mehrere. Wenn Benutzer auf einen Dienst zugreifen, der Kerberos-fähig ist, erhalten sie ein Kerberos-Ticket für diesen Dienst vom KDC. Die Chiffrierschlange auf dem Anwendungsserver entschlüsselt den Inhalt dieses Tickets, da in der Chiffrierschlüsseldatei eine Darstellung des Dienstes auf dem Anwendungsserver, auf den Benutzer zugreifen möchten, des vollqualifizierten Domänennamens des Anwendungsservers und des Kerberos-Bereichsnamen, der die Authentifizierung berücksichtigt, dargestellt wird Versuch und kryptographischer Hash des Dienstprinzipals im KDC. Da die Passwörter in jedem identisch sind, ist die Authentifizierung erfolgreich. Dies ist eine sehr implizite Erklärung. Der Chiffrierschlüssel kann die Mitgliedschaft in einer Benutzergruppe jedoch nicht ermitteln. Dies ist Teil der Autorisierung. Daher müssen Sie einen LDAP-Autorisierungsaufruf an den Verzeichnisserver zurückgeben, wenn Sie die Gruppenmitgliedschaft analysieren möchten.
Es gibt nur eine Ausnahme von dieser Regel, die ich kenne. In einer homogenen Microsoft Active Directory-Umgebung, in der Kerberos die primäre Authentifizierungsmethode ist (standardmäßig), werden keytabs nicht verwendet. Microsoft-Anwendungsserver können das Kerberos-Ticket nativ entschlüsseln, um zu ermitteln, wer der Benutzer und ist, das gleiche Ticket auch für Gruppeninformationen des Benutzers zu analysieren, ohne dass LDAP-Aufrufe an den Directory-Server zurückgegeben werden müssen. Das Parsen des Kerberos-Servicetickets für Gruppeninformationen lautet und liest den PAC. In einer Active Directory-Umgebung können jedoch nicht von Microsoft stammende Plattformen den PAC für die Gruppenmitgliedschaft nicht lesen, da Microsoft, soweit mir bekannt ist, nie dargelegt hat, wie sie das tun. Siehe http://searchwindowsserver.techtarget.com/feature/Advanced-Kerberos-topics-From-authentication-to-authorization.
- 1. Ist es möglich, MAX (As, Ad) openGL Blending zu erreichen?
- 2. Rabatt für Benutzergruppe in Kentico?
- 3. Ist es möglich, ein Ladenfeld in Lucene
- 4. Ist es möglich, ein AD-Benutzerkonto mit Ruby LDAP zu ändern?
- 5. Ist es möglich, in für dynamisch
- 6. Ist es möglich, die Schriftgröße für die Google Ad sence auf allen Seiten statisch zu machen?
- 7. Tabelle als ein Enum. Ist es möglich?
- 8. Ist es möglich, ein Einlaufen zu erkennen?
- 9. Ist es möglich, ein Apache proxy'd Zertifikat
- 10. Ist es möglich, ein GIF-Bild anzuhalten?
- 11. Ist es möglich, ein Pseudozufall zu teilen
- 12. Ist es möglich, ein Skript für eine node.js-Abhängigkeit auszuführen?
- 13. Ist es möglich, ein Bereitstellungsprofil ohne iTunes zu installieren?
- 14. Was ist ein guter ASP.NET Ad Server?
- 15. Ist es möglich, ein Icon zu verschieben?
- 16. Ist es möglich, ein Netzlaufwerk% PATH% Umgebungsvariable
- 17. ist es möglich,
- 18. Ist es möglich, ein Bulk-Update durchzuführen?
- 19. Ist es möglich, in PHP:
- 20. AD Authentifizierung für ICINGA
- 21. Ist es möglich, für DB/TBL
- 22. Ist es möglich, ein data.frame in einem Vektor in R
- 23. ist es möglich, in scala
- 24. Ist es möglich, den Benutzer in einem WinServer AD mit PHP ldap einzuloggen?
- 25. Ist es möglich, Zeichen für String.Trim()?
- 26. Senden von Daten für Benutzergruppe Knoten Express
- 27. VS-Code für Android. Ist es möglich?
- 28. Es ist möglich, in MySQL
- 29. ist es möglich, kostenlos ssl-Zertifikat für IIS auf Azure
- 30. Ist es möglich path.Data
Hallo; Wenn wir Ihre Frage beantwortet haben, markieren Sie sie bitte so, dass sie für andere in der Gemeinschaft verifiziert wird; andernfalls lassen Sie es uns bitte wissen. –