विंडोज के लिए एमआईटी केर्बरोस के तहत कई स्थानों और कई टीजीटी

मेरा स्थानीय कंप्यूटर विंडोज 7 प्रो का उपयोग करता है और एडीआर सर्वर द्वारा प्रबंधित दायरे एलआर के अंतर्गत आता है। मैं उस दायरे के नेटवर्क से जुड़े रहते हुए अपने कंप्यूटर पर लॉगिन करता हूं। मैं TGT को विंडोज वेर के लिए MIT कर्बरोस के साथ देख सकता हूं। 4.0.1।

मैं एक विदेशी दायरे, एफआर पर संसाधनों का उपयोग करना चाहता हूं। LR और FR के बीच कोई Kerberos ट्रस्ट नहीं है, लेकिन वे एक दूसरे के बीच TCP ट्रैफ़िक की अनुमति देते हैं। मैं अपने KDC (Red Hat IdM / FreeIPA) के साथ FR के लिए TGT का अनुरोध करता हूँ और चुनौती देने पर अपना पासवर्ड सफलतापूर्वक दर्ज करता हूँ। फिर से, मैं टीजीटी को विंडोज वेर के लिए एमआईटी केर्बरोस के साथ देख सकता हूं। 4.0.1। एलआर से उत्पन्न होने के बावजूद, मैं बिना पासवर्ड के एसएसआर पर एफआर पर संसाधनों का उपयोग कर सकता हूं।

समस्या यह है कि जब मुझे एफआर के लिए टीजीटी मिलता है, तो मेरे एलआर प्रिंसिपल के लिए टीजीटी गायब हो जाता है। MIT Kerberos में केवल FR TGT दिखाई देता है। यदि मैं अपने कंप्यूटर को लॉक करता हूं और फिर अपने पासवर्ड से अनलॉक करता हूं, तो अब FR TGT चला गया है, एक नया LR TGT द्वारा प्रतिस्थापित किया गया है।

ऐसा लगता है कि विंडोज के लिए एमआईटी करबरोस एक समय में केवल एक टीजीटी स्टोर कर सकता है। प्रत्येक टीजीटी पूरी तरह से सभी इरादों और उद्देश्यों के लिए अपने दायरे के लिए काम करता है। मैं MIT Kerberos को कैसे कॉन्फ़िगर कर सकता हूं, मुझे दो TGTs एक साथ, प्रत्येक क्षेत्र के लिए एक करने दें? क्या कई ग्राहक उदाहरणों के साथ "कंपार्टमेंटलाइज़" करना संभव है, प्रत्येक एक अलग KRB5_CONFIG और स्थानीय कीटाब की ओर इशारा करता है? अगर मैं नहीं कर सकता, तो क्या ग्राहक-पक्ष केबरोस 5 का एक वैकल्पिक विंडोज कार्यान्वयन है, जो तब भी होगा, जब कोई अंतर-क्षेत्रीय ट्रस्ट नहीं हैं?

पुनश्च - मुझे विश्वास नहीं चाहिए। एक भरोसा नहीं मिल सकता।

अद्यतन: मैंने इनमें से कुछ विवरणों को पहले छोड़ दिया क्योंकि मुझे लगा कि यह समस्या को भ्रमित कर सकता है। लेकिन ब्रैड के जवाब के आधार पर, यह वारंट हो सकता है। मुझे उम्मीद है कि अधिकांश स्थानीय सॉफ्टवेयर केर्बोस के अंतर्निहित विंडोज कार्यान्वयन का उपयोग करेंगे और हमेशा एलआर कीटैब का उपयोग करेंगे।

हालांकि, मेरे जैसे पावर उपयोगकर्ता साइगविन के तहत हेमडल का उपयोग एफआर में एसएसएच के लिए करते हैं। मुझे उम्मीद है कि साइमलविन डीएलएल के माध्यम से हेमडाल का उपयोग करने के लिए कुछ भी हो सकता है और कभी भी एलआर टीजीटी (जो ऐसा नहीं होता है, कम से कम डिफ़ॉल्ट रूप से नहीं) देखें। मैं स्पष्ट रूप से किनिट और आगे बढ़ता हूं।

मुश्किल हिस्सा गैर-शक्ति वाले उपयोगकर्ताओं के लिए आता है जिनका मुझे समर्थन करना है जो Cygwin का उपयोग नहीं करते हैं लेकिन PuTTY का उपयोग करते हैं। PuTTY आपको लाइब्रेरी पथ और DLL दोनों को निर्दिष्ट करता है जिसके लिए GSSAPI कार्यान्वयन का उपयोग करना है। उदाहरण के लिए, मैं अंतर्निहित Windows DLL के बजाय MIT Kerberos DLL का उपयोग करने के लिए SSH सत्र कॉन्फ़िगर कर रहा हूं। मुझे उम्मीद थी कि वहां एक डीएलएल था जो या तो एलआर टीजीटी (हेमडाल की तरह) खोजने की कोशिश नहीं करता था या कई स्थानों से कई टीजीटी की अनुमति देता था। इसमें MIT Kerberos की तरह GUI विंडो नहीं है, लेकिन यह मदद करता है।

वैसे मैं यह नहीं कहूंगा कि यह विंडोज के साथ नहीं किया जा सकता है, लेकिन मैं कहूंगा कि सीमा सत्र आधारित है। तब समस्या यह है कि प्रत्येक सत्र के लिए विंडोज एक टिकट को कैश करता है। जब आप अपने कंप्यूटर को लॉक करते हैं तो इसे अनलॉक करें एक और सत्र शुरू किया जाता है और केडीसी से एक नई कुंजी मांगी जाती है। यही बात तब होती है जब आप लॉग ऑफ करते हैं फिर अपने कंप्यूटर पर। यह विधि वास्तव में कैसे सर्वर सत्रों के लिए उपयोगकर्ता अनुमतियाँ निर्धारित की जाती है, जिसका अर्थ है कि कुंजी / टिकट को कैश किया जा सकता है ताकि आपके द्वारा शुरू किए गए प्रत्येक सर्वर संसाधन या सत्र को आपसे पासवर्ड के लिए पूछना न पड़े, लेकिन मैंने कभी नहीं सुना है / एक से अधिक कैश करने में सक्षम होने के लिए इसे पढ़ा / शोध किया।

अब, आप शायद पहले से ही जानते हैं कि आपने अपना ज्ञान दिया है जिसे आपने अपने प्रश्न में प्रदर्शित किया है, इसलिए मैं कहूंगा कि इस तथ्य के आधार पर कि विंडोज एक टीजीटी जारी होने पर आपके द्वारा प्राप्त की जाने वाली कुंजी संग्रहीत करता है और सत्र आधारित है, मैं नहीं। लगता है कि यह सिर्फ विंडोज के साथ संभव है। Windows के लिए MIT Kerberos में एक उपयोगकर्ता के अंतर्गत दो सत्र आरंभ करने का एक तरीका हो सकता है, लेकिन फिर भी, मुझे यकीन नहीं है कि आपके द्वारा उपयोग किए जा रहे संसाधन किस टिकट / कुंजी जोड़े का उपयोग करने के लिए जानते हैं। क्या इसका कोई मतलब है?

कृपया यह देखने के लिए कि विंडोज टीजीटी / कुंजी जोड़े को कैसे संग्रहीत करता है।

वैसे बहुत अच्छा सवाल है।

ठीक है, मैं एक ऐसे काम के समाधान के साथ आया हूं जिसमें कुछ और पॉलिश की आवश्यकता है, इसलिए सभी वातावरणों में काम नहीं हो सकता है।

इसके साथ काम करता है:

1. विंडोज सपोर्ट टूल (KSETUP.EXE, KTPASS.EXE) के साथ विंडोज 4.0.1 के लिए MIT केरबरोस
2. पु ० ०.६३
3. विंडोज 7 SP1

मैं एमआईटी केर्बरोस स्रोत में देख रहा था और विंडोज के लिए आरईएडीएमई में आया था । विशेष रूप से ब्याज क्रेडेंशियल कैश के लिए विभिन्न मूल्य थे । यह एपीआई के एक डिफ़ॉल्ट मूल्य को खोल देता है: लेकिन मुझे आश्चर्यजनक रूप से एमएसएलएसए का उपयोग करके अपनी रजिस्ट्री मिली: इसके बजाय।

मैं ccname के विभिन्न मूल्यों के तहत आसपास खेला HKEY_CURRENT_USER\Software\MIT\Kerberos5। मैंने मेमोरी की कोशिश की : पहली बार में, जो कुछ दिलचस्प व्यवहार को जन्म देता है। पुट्टी सत्र खोलने के दौरान, मेरा MIT कर्बरोस टिकट प्रबंधक विंडो को पुनर्स्थापित करेगा और अग्रभूमि में आएगा, जिससे मुझे क्रेडेंशियल दर्ज करने के लिए कहा जाएगा। वाह! ऐसा पहले कभी नहीं हुआ, लेकिन अफसोस, PuTTY इसे अस्वीकार कर देगा। मूल्य है कि मेरे लिए चाल थी FILE:C:\Some\Full\File\Path। मुझे बिल्कुल यकीन नहीं है कि निर्दिष्ट फ़ाइल तक पहुंच कैसे सुरक्षित है, इसलिए मैं इसे पाठक के लिए एक अभ्यास के रूप में छोड़ दूंगा। मुझे वही विंडो-टू-द-फोरग्राउंड व्यवहार मिला, केवल पुट्टी को इस बार पसंद आया। टिकट प्रबंधक विंडो ने भी आखिरकार एलआर और एफआर टिकट प्रदर्शित किए। टिकट अग्रेषित करने योग्य साबित हुए और कई विंडोज लॉक / अनलॉक से बच जाएंगे। ध्यान दें:पूरी तरह से बाहर निकलें और टिकट प्रबंधक इनबेटन रजिस्ट्री संपादन को फिर से शुरू करना सुनिश्चित करें। मैं एक बाहर प्रयास नहीं किया है ccname की एपीआई: अभी तक।

मुझे नहीं पता कि इससे कोई फर्क पड़ता है या नहीं, लेकिन मैंने काम शुरू करने से पहले KSETUP के साथ भी खेला । सबसे पहले, एक पैरामीटर रहित KSETUP मुझे LR के बारे में जानकारी दिखाएगा। मैंने अपने स्थानीय कार्य केंद्र पर FR के बारे में कुछ जानकारी जोड़ी।

ksetup /AddKdc FOREIGN.REALM KDC.FOREIGN.REALM
ksetup /AddRealmFlags FOREIGN.REALM TcpSupported Delegate NcSupported

मेरे लिए, यह थोड़ा सा लगता है जैसे कि वास्तव में विंडोज के लिए केर्बेरस में एक बग है।

मैंने निम्नलिखित पाया:

अगर मैं KfW 4.0.1 विंडो में "टिकट प्राप्त करें" विकल्प का उपयोग करता हूं, तो यह जस्ट वर्क्स (टीएम) है; मैं "टिकट प्राप्त करें" बटन को हिट कर सकता हूं, और जब मैं लॉग ऑन करता हूं तो मुझे जो मूल टिकट मिलते हैं , उनके अतिरिक्त टिकट प्राप्त कर सकते हैं ।

अगर मैं केएफडब्ल्यू विंडो में "मेक डिफ़ॉल्ट" विकल्प मारा, तो हर बार उस बिंदु से मैं हिट "टिकट मिलता है", नए टिकट होगा की जगह जो भी टिकट, डिफ़ॉल्ट है बजाय जाना जाता टिकटों की सूची में एक और प्रविष्टि जोड़ने । उस बिंदु पर रजिस्ट्री की जांच करने से पता चलेगा कि एक ccnameप्रविष्टि (टोडियस के उत्तर में) जोड़ी गई है। निकाला जा रहा है कि प्रवेश आश्चर्यजनक रूप से, कई टिकट के लिए अनुमति देता के पिछले व्यवहार को बहाल करेंगे।

टोडियस के उत्तर के बाद, मेरे पास एक समान स्थिति में एक सहकर्मी है (विंडोज 7 एंटरप्राइज 64-बिट, एक एडी डोमेन में शामिल हो गया, विंडोज 4.0.1 के लिए एमआईटी केर्बरोस भी चल रहा है): केर्बरोस टिकट मैनेजर की उसकी प्रति। केवल उसे एक प्रिंसिपल / एक टीजीटी रखने की अनुमति दें। जब भी वह एक अलग प्रिंसिपल के लिए टीजीटी प्राप्त करने के लिए "गेट टिकट" बटन का उपयोग करेगा, तो पिछला प्रिंसिपल गायब हो जाएगा।

मैंने README की समीक्षा की , और अधिकांश रजिस्ट्री कुंजियाँ अपेक्षा के अनुसार निर्धारित की गईं , पथ पर ccname कुंजी को छोड़कर । उस कुंजी को मान पर सेट किया गया था । हमारा तय था कि इसे बदलना है । विशेष रूप से, कदम थे:HKEY_CURRENT_USER\Software\MIT\Kerberos5MSLSA:API:

1. अन्य सभी एप्लिकेशन (जब आप पुनः आरंभ करेंगे) के साथ कर्बरोस टिकट प्रबंधक से बाहर निकलें।
2. रजिस्ट्री पथ पर HKEY_CURRENT_USER\Software\MIT\Kerberos5, ccname कुंजी को API:(API, फिर कोलन) में बदलें ।
3. Regedit से बाहर निकलें, और पुनरारंभ करें।
4. वापस लॉग इन करने के बाद, केर्बरोस टिकट मैनेजर चलाएं, और अपने गैर-प्रमुख प्रिंसिपल के टीजीटी को प्राप्त करने के लिए गेट टिकट बटन का उपयोग करें।

उपरोक्त चरणों के साथ, सब कुछ काम कर गया, और मुझे सहकर्मी अब एक साथ कई प्रिंसिपल / टीजीटी देखने में सक्षम है।

वैसे, विंडोज के लिए एमआईटी करबरोस कमांड लाइन प्रोग्राम (जैसे किलिस्ट) के अपने सेट में लाता है, और वे प्रोग्राम कई क्रेडेंशियल कैश का समर्थन करते हैं। अपने 64-बिट सिस्टम पर, जब मैं "C:\Program Files\MIT\Kerberos\bin\klist.exe" -A"कई टीजीटी प्राप्त करने के बाद दौड़ता हूं, तो मैं अपने सक्रिय निर्देशिका प्रिंसिपल को एमएसएलएसए कैश में देखता हूं, और फिर मेरे पास प्रत्येक अतिरिक्त प्रिंसिपल के लिए एक एपीआई कैश है।

PS यह इस साइट पर मेरी पहली प्रविष्टि है, इसलिए मैं इसे टोडियस के उत्तर के लिए एक टिप्पणी के रूप में जोड़ने में सक्षम नहीं था। क्षमा याचना!