Я использую kerberos с окружением Hadoop, и я использую файл keytab для аутентификации для разных пользователей. Теперь у меня есть некоторые пользователи для них, я должен предоставить им такую же привилегию.
Итак, я создал группу пользователей и сгенерировал общий файл keytab для этой активной группы каталогов, но не смог проверить файл keytab. Это дает мне ошибку, как указано ниже:
Kinit: Клиент «[email protected]» не найден в базе данных Kerberos при получении исходных учетных данных
Теперь вопрос, есть ли возможность использовать Keytab файл для группы в активном каталоге или мне нужно использовать любой другой способ добиться того же?Можно ли использовать keytab для группы пользователей в AD
ответ
Вам нужно разместить только одну клавиатуру на сервере приложений, чтобы успешно выполнять аутентификацию SSO Kerberos, а не несколько. Когда пользователи обращаются к службе с включенной поддержкой Kerberos, они получают билет Kerberos для этой службы из KDC. Keytab на сервере приложений расшифровывает содержимое этого билета, потому что внутри keytab - это представление службы, запущенной на сервере приложений, к которому требуется доступ, полное доменное имя сервера приложений и имя домена Kerberos, которое будет соблюдать аутентификацию попытку и криптографический хеш принципала обслуживания в KDC. Поскольку пароли в каждом из них одинаковы, аутентификация выполняется успешно. Это очень подразумеваемое объяснение. Однако keytab не сможет определить членство в группе пользователей. Это часть авторизации, поэтому вам нужно сделать запрос авторизации LDAP на сервер Directory, если вы хотите проанализировать членство в группе.
Есть только одно исключение из этого правила, о котором я знаю. В однородной Microsoft Active Directory среде, в которой Kerberos является основным методом проверки подлинности (по умолчанию), keytabs не используются. Серверы приложений Microsoft могут без ключа-ключа самостоятельно расшифровать билет Kerberos, чтобы определить, кто является пользователем и, проанализировать тот же самый билет для информации о группе пользователей, без необходимости перенаправления LDAP на сервер Directory. Разбор служебного билета Kerberos для информации о группе известен как , читающий PAC. Однако в среде AD платформы, не относящиеся к Microsoft, не могут «читать PAC» для членства в группах, поскольку Microsoft никогда не раскрывала, как они это делают, насколько мне известно. См. http://searchwindowsserver.techtarget.com/feature/Advanced-Kerberos-topics-From-authentication-to-authorization.
- 1. Группы AD для пользователей Windows
- 2. Получить пользователей «memberOf» AD-группы
- 3. Найти отношение группы пользователей и AD через вложенные группы AD
- 4. Членство в AD группы пользователей SharePoint
- 5. Список всех пользователей группы AD в Delphi
- 6. Найти AD группы всех пользователей в списке
- 7. Как использовать AllocateAndInitializeSid для группы AD?
- 8. удалять пользователей/группы пользователей AD с помощью python-ldap
- 9. Можно ли настроить группы в Azure AD SAML Assertion
- 10. Получение списка пользователей из группы AD
- 11. Получить пользователей из группы безопасности AD внутри группы SharePoint
- 12. Как получить группы пользователей AD для пользователя в Asp.Net?
- 13. Есть ли в сети группы пользователей группы?
- 14. Powershell Поиск пользователей AD
- 15. Как экспортировать и импортировать пользователей, группы и члены группы AD?
- 16. итерации группы пользователей в AD и сохранить их в списке
- 17. Можно ли скрыть контент для одной конкретной группы пользователей?
- 18. C# Использование SearchResultCollection для перечисления большой группы пользователей AD
- 19. Можно ли читать пользователей AD с AX 2009?
- 20. Azure AD Синхронизация пользователей с AD DS
- 21. Группы SSRS и AD
- 22. LinkedIn - Можно ли отправлять сообщения в группы пользователей моего приложения?
- 23. Поиск пользователей AD для пользователя
- 24. Фильтрация группы AD
- 25. Как использовать SignalR для установления связи между пользователями группы AD?
- 26. PowerShell: добавьте пользователей в AD и добавьте их в группы
- 27. Получить группы пользователей в AD с вложенными группами
- 28. Где можно найти помощников администратора MVC для пользователей AD?
- 29. Найти пользователей AD, которые могут сбросить пароли других пользователей AD
- 30. Получить Количество пользователей в группы AD с помощью PrincipalSearcher
Hi; Если мы ответили на ваш вопрос, отметьте его как таковой, который проверит его другим в сообществе; в противном случае сообщите нам, если они есть. –