উইন্ডোজের জন্য এমআইটি কার্বেরোসের অধীনে একাধিক রিয়েলস এবং একাধিক টিজিটি

10

আমার স্থানীয় কম্পিউটারটি উইন্ডোজ 7 প্রো ব্যবহার করে এবং এডি সার্ভার দ্বারা পরিচালিত রিয়েল এলআর এর অন্তর্গত। সেই অঞ্চলের নেটওয়ার্কের সাথে সংযুক্ত থাকাকালীন আমি আমার কম্পিউটারে লগইন করি। আমি উইন্ডোজ ভেরির জন্য এমআইটি কার্বেরোসের সাথে টিজিটি দেখতে পারি। 4.0.1।

আমি একটি বিদেশী অঞ্চল, এফআর এর সংস্থানগুলি অ্যাক্সেস করতে চাই। এলআর এবং এফআর এর মধ্যে কোনও কার্বেরোস বিশ্বাস নেই, তবে তারা একে অপরের মধ্যে টিসিপি ট্র্যাফিকের অনুমতি দেয়। আমি এর কেডিসি (রেড হ্যাট আইডিএম / ফ্রিআইপিএ) এর সাথে এফআরটির জন্য একটি টিজিটি-র অনুরোধ করছি এবং চ্যালেঞ্জ জানালে সফলভাবে আমার পাসওয়ার্ডটি প্রবেশ করান। আবার, আমি উইন্ডোজ ভারের জন্য এমআইটি কার্বেরোসের সাথে টিজিটি দেখতে পারি। 4.0.1। আমি এখন এলআর থেকে উদ্ভূত হওয়া সত্ত্বেও এসএসএইচ-এর মাধ্যমে এফআর-তে সংস্থানগুলি অ্যাক্সেস করতে পারি।

সমস্যাটি যখন আমি এফআর এর জন্য টিজিটি পাই, আমার এলআর অধ্যক্ষের জন্য টিজিটি অদৃশ্য হয়ে যায়। এমআইটি কার্বেরোসে কেবল এফআর টিজিটি দৃশ্যমান। আমি যদি আমার কম্পিউটারটি লক করে রাখি এবং তারপরে আমার পাসওয়ার্ডটি দিয়ে আনলক করি তবে এখন নতুন এলআর টিজিটি দ্বারা প্রতিস্থাপিত এফআর টিজিটি চলে গেছে।

দেখে মনে হচ্ছে উইন্ডোজের জন্য এমআইটি কারবেরোস একবারে কেবল একটি টিজিটি সঞ্চয় করতে পারে। প্রতিটি টিজিটি সম্পূর্ণরূপে সমস্ত অঞ্চলের উদ্দেশ্যে এবং উদ্দেশ্যে কাজ করে। আমি একসাথে দুটি টিজিটি রাখতে পারি, প্রতিটি রাজ্যের জন্য একটি করে আমি কীভাবে এমআইটি কার্বেরোস কনফিগার করতে পারি? একাধিক ক্লায়েন্টের দৃষ্টান্তগুলির সাথে প্রতিটি পৃথক কেআরবি 5_সিএনএফআইজি এবং স্থানীয় কীট্যাবকে নির্দেশ করে "বিভাগকরণ" করা কি সম্ভব? যদি আমি না করতে পারি তবে কোনও বিকল্প-উইন্ডোজ বাস্তবায়ন কি ক্লায়েন্ট-সাইড কার্বেরোস 5 এর বাস্তবায়িত হবে, যখন কোনও আন্তঃ-রাজ্য ট্রাস্ট না থাকলেও?

পিএস - আমি একটি বিশ্বাস চাই না। আস্থা পাওয়া যায় না।

আপডেট: আমি এই বিবরণগুলির কিছু আগে রেখেছিলাম কারণ আমি ভেবেছিলাম এটি সমস্যাটিকে বিভ্রান্ত করতে পারে। তবে ব্র্যাডের উত্তরের ভিত্তিতে, এটি পুনরুদ্ধার হতে পারে। আমি প্রত্যাশা করি বেশিরভাগ স্থানীয় সফ্টওয়্যার কার্বেরোস অন্তর্নির্মিত উইন্ডোজ বাস্তবায়ন ব্যবহার করবে এবং সর্বদা এলআর কীট্যাব ব্যবহার করবে।

তবে আমার মতো শক্তি ব্যবহারকারীরা সাইগউইনের অধীনে এসএমএইচ থেকে এফআর তে হিমডাল ব্যবহার করেন। আমি সাইগউইন ডিএলএলগুলির মধ্য দিয়ে হিমডাল ব্যবহার করতে এবং এলআর টিজিটি কখনই দেখতে পাবেন না তা প্রত্যাশা করি (যা এটি অন্তত ডিফল্টরূপে নয়)। আমি স্পষ্টভাবে কিনিত এবং এগিয়ে চলেছি।

জটিল অংশটি অ-বিদ্যুৎ ব্যবহারকারীদের জন্য আসে আমাকে সাপোর্ট করতে হবে যারা সাইগউইন ব্যবহার করেন না তবে পুটটি ব্যবহার করেন। পুটিটি আপনাকে লাইব্রেরির পাথ এবং ডিএলএল উভয়ই নির্দিষ্ট করতে দেয় যার জন্য জিএসএসপিআই বাস্তবায়ন ব্যবহার করা উচিত। উদাহরণস্বরূপ, আমি বিল্ট-ইন উইন্ডোজ ডিএলএলগুলির পরিবর্তে এমআইটি কার্বেরোস ডিএলএল ব্যবহার করতে এসএসএইচ সেশনগুলি কনফিগার করছি। আমি আশাবাদী সেখানে একটি ডিএলএল বেরিয়ে এসেছিল যেটি হয় কখনও এলআর টিজিটি (হিমডালের মতো) সন্ধানের চেষ্টা করেনি বা একাধিক অঞ্চল থেকে একাধিক টিজিটি মঞ্জুরি দেয়নি। এটিতে এমআইটি কার্বেরোসের মতো জিইউআই উইন্ডো থাকতে হবে না তবে এটি সহায়তা করে।

kerberos 
টোডিয়াস ঝো
সূত্র
আকর্ষণীয় প্রশ্ন।
mfinni

উত্তর:

4

ঠিক আছে আমি এটি উইন্ডোতে সম্পন্ন করতে পারি না, তবে আমি বলব যে সীমাবদ্ধতাটি সেশন ভিত্তিক। তারপরে সমস্যাটি হ'ল প্রতিটি সেশনের জন্য উইন্ডোজ একটি টিকিট কেচ করে। আপনি যখন কম্পিউটারটি লক করে রাখেন তখন এটিকে আনলক করুন অন্য সেশনটি শুরু করা হয় এবং কেডিসি থেকে একটি নতুন কী অনুরোধ করা হয়। আপনি যখন আবার আপনার কম্পিউটারে লগইন করেন তখন একই জিনিস ঘটে। এই পদ্ধতিটি প্রকৃতপক্ষে সার্ভার সেশনের জন্য ব্যবহারকারীর অনুমতিগুলি কীভাবে নির্ধারিত হয় তা বোঝায় কী / টিকিটটি ক্যাশে করা যায় যাতে আপনার শুরু হওয়া প্রতিটি সার্ভার রিসোর্স বা সেশন আপনাকে আপনার পাসওয়ার্ডের জন্য জিজ্ঞাসা করতে না পারে তবে আমি কখনও শুনিনি / একাধিক ক্যাশে সক্ষম হওয়ার জন্য এটি পড়ুন / গবেষণা করেছেন।

এখন, আপনি সম্ভবত ইতিমধ্যে জানেন যে আপনার জ্ঞানটি আপনি আপনার প্রশ্নে প্রদর্শিত করেছেন, তাই আমি এই কথাটি বলব যে কোনও টিজিটি জারির পরে উইন্ডোজ আপনার যে চাবিটি সংরক্ষণ করবে এবং এটি অধিবেশন ভিত্তিক থাকবে তখন আমি তা করি না JUST উইন্ডোজ দিয়ে এটি সম্ভব বলে মনে করুন। উইন্ডোজের জন্য এমআইটি কার্বেরোসের একটি ব্যবহারকারীর অধীনে দুটি সেশন শুরু করার উপায় থাকতে পারে তবে তারপরেও আমি নিশ্চিত নই যে আপনি যে সংস্থানগুলি অ্যাক্সেস করছেন সেগুলি কোন টিকিট / কী জুটি ব্যবহার করবেন তা জানতে পারে। যে জানার জন্য?

উইন্ডোজ কীভাবে টিজিটি / কী জুড়ি সঞ্চয় করে তার একটি বিবরণের জন্য দয়া করে এটি দেখুন।

উপায় দ্বারা খুব ভাল প্রশ্ন।

ব্র্যাড বোচার্ড
সূত্র
আমি আমার আসল প্রশ্নটি আপডেট করেছি যা আশা করি যে সংস্থানগুলি কী টিকিট / কী জুটি ব্যবহার করবেন তা জানে know
টোডিয়াস ঝো
আবার, দুর্দান্ত প্রশ্ন, কিন্তু দুর্ভাগ্যক্রমে আমি কেবলমাত্র নিজের মূল প্রশ্নে যেমন উইন্ডোজ সম্পর্কে জিজ্ঞাসা করেছি সেগুলির নেটিভ উইন্ডোজ দিক সম্পর্কে কেবল উত্তর দিতে পারি (যেমন ইতিমধ্যে আমার কাছে রয়েছে); তৃতীয় পক্ষের প্লাগইন / সফ্টওয়্যার বাদ দিয়ে আমি জিইউআই সহ বা না করে স্থানীয়ভাবে এটি করার কোনও উপায় জানি না। আমি আরও সাহায্য করতে পারে আশা করি।
ব্র্যাড বাউচার্ড
4

ঠিক আছে, আমি একটি কার্যনির্বাহী সমাধান নিয়ে এসেছি যার জন্য আরও কিছু পোলিশ দরকার, সুতরাং সমস্ত পরিবেশে এটি কাজ নাও করতে পারে।

এটি এর সাথে কাজ করে:

  1. উইন্ডোজ সমর্থন সরঞ্জামগুলির সাথে উইন্ডোজ .1.০.১-এর জন্য এমআইটি কার্বেরোস (KSETUP.EXE, KTPASS.EXE)
  2. পুটি 0.63
  3. উইন্ডোজ 7 এসপি 1

আমি এমআইটি কার্বেরোস উত্সে সন্ধান করছিলাম এবং উইন্ডোজের README জুড়ে এসেছি । শংসাপত্রের ক্যাশের জন্য আলাদা আগ্রহ ছিল বিশেষ আগ্রহ । এটি এপিআই - একটি ডিফল্ট মানকে সমর্থন করে : তবে আমি আশ্চর্যরূপে এমএসএলএসএ ব্যবহার করে আমার রেজিস্ট্রিটি পেয়েছি: পরিবর্তে।

আমি ccname এর অধীনে বিভিন্ন মানের সাথে প্রায় খেলেছি HKEY_CURRENT_USER\Software\MIT\Kerberos5। আমি স্মৃতিটি চেষ্টা করেছি : প্রথমে, যা কিছু আকর্ষণীয় আচরণের দিকে পরিচালিত করে। পুটি সেশনটি খোলার সময়, আমার এমআইটি কার্বেরোস টিকিট ম্যানেজার উইন্ডোটি পুনরুদ্ধার করে অগ্রভাগে আসত, আমাকে শংসাপত্রগুলি প্রবেশ করতে বলত। কি দারুন! এটি আগে কখনও ঘটেনি, তবে হায়, পিটিটিওয়াই এটিকে প্রত্যাখ্যান করবে। আমার জন্য কৌতুকটি যে মূল্য করেছিল তা ছিল FILE:C:\Some\Full\File\Path। নির্দিষ্ট ফাইলটিতে অ্যাক্সেস কীভাবে সুরক্ষিত করা যায় তা আমি ঠিক নিশ্চিত নই, তাই আমি পাঠকের জন্য অনুশীলন হিসাবে ছেড়ে দেব। আমি পূর্বের উইন্ডো-থেকে-পূর্বের আচরণটি পেয়েছি, কেবল পুটিটিই এবার পছন্দ করেছে। টিকিট ম্যানেজার উইন্ডো উভয়ই অবশেষে এলআর এবং এফআর টিকিট প্রদর্শিত। টিকিটগুলি ফরওয়ার্ডযোগ্য হিসাবে প্রমাণিত হয়েছিল এবং একাধিক উইন্ডোজ লক / আনলক থেকে বেঁচে থাকবে। বিঃদ্রঃ:নিবন্ধের সম্পাদনাগুলির অভ্যন্তরে টিকিট পরিচালককে পুরোপুরি প্রস্থান এবং পুনরায় চালু করতে ভুলবেন না sure আমি আউট চেষ্টা করিনি ccname এর এপিআই: এখনো।

আমি জানি না এটির কোনও পার্থক্য রয়েছে কি না, তবে এটি কাজ শুরু করার আগে আমি কেএসইটিআপের সাথেও ঘুরেছিলাম । প্রথমে, প্যারামিটারহীন কেএসইটিআপ আমাকে কেবল এলআর সম্পর্কে তথ্য প্রদর্শন করবে। আমি আমার স্থানীয় ওয়ার্কস্টেশনে এফআর সম্পর্কে কিছু তথ্য যুক্ত করেছি।

ksetup /AddKdc FOREIGN.REALM KDC.FOREIGN.REALM
ksetup /AddRealmFlags FOREIGN.REALM TcpSupported Delegate NcSupported
টোডিয়াস ঝো
সূত্র
2

আমার কাছে এটি দেখতে কিছুটা মনে হচ্ছে উইন্ডোজের কার্বেরোসে আসলে একটি বাগ আছে।

আমি নিম্নলিখিতটি পেয়েছি:

আমি যদি কেএফডাব্লু 4.0.০.১ উইন্ডোতে "টিকিট পান" বিকল্পটি ব্যবহার করি তবে এটি জাস্ট ওয়ার্কস (টিএম); আমি "টিকিট পান" বোতামটি টিপতে পারি এবং লগ ইন করার সময় আমি যে মূল টিকিট পেয়েছিলাম তার অতিরিক্ত টিকিট অর্জন করতে পারি।

আমি যদি কেএফডাব্লু উইন্ডোতে "মেক ডিফল্ট" বিকল্পটি হিট করি, তবে সেই সময় থেকে প্রতিবারই আমি "টিকিট পান" টিপুন, নতুন টিকিটটি টিকিটের যে কোনও ডিফল্ট হিসাবে প্রতিস্থাপন করবে , পরিবর্তে পরিচিত টিকিটের তালিকায় অন্য একটি এন্ট্রি যুক্ত করার পরিবর্তে । এই মুহুর্তে রেজিস্ট্রি চেক করলে দেখা যাবে যে একটি ccnameএন্ট্রি (টডডিয়াসের উত্তর হিসাবে) যুক্ত করা হয়েছে। সেই প্রবেশটি অপসারণ করা , আশ্চর্যজনকভাবে, একাধিক টিকিটের অনুমতি দেওয়ার আগের আচরণটি পুনরুদ্ধার করবে।

ওয়াটার ভারহেলস্ট
সূত্র
আমি এই আচরণটি নিশ্চিত করতে পারি। আমি ভাবছি আপনি এটি এমআইটি দিয়ে বাগ হিসাবে উত্থাপিত করেছেন?
পল হেদারলি
2

টোডিয়াসের উত্তর অনুসরণ করে, আমার একই সহকর্মী রয়েছে (উইন্ডোজ 7 এন্টারপ্রাইজ 64৪-বিট, একটি এডি ডোমেইনে যোগদান করেছে, উইন্ডোজ 4.0.০.১-এর জন্য এমআইটি কার্বেরোসও চালাচ্ছে): কার্বেরোস টিকিট ম্যানেজারের তাঁর অনুলিপি হবে কেবলমাত্র তাকে একটি অধ্যক্ষ / একটি টিজিটি দেওয়ার অনুমতি দিন। যখনই তিনি অন্য কোনও অধ্যক্ষের জন্য টিজিটি পেতে "টিকিট পান" বোতামটি ব্যবহার করতেন, পূর্ববর্তী অধ্যক্ষটি অদৃশ্য হয়ে যেত।

আমি পর্যালোচনা করা README , এবং রেজিস্ট্রি কি অধিকাংশ হিসাবে প্রত্যাশিত, সেট হয়েছিল বৈ জন্য ccname পথ এ কী HKEY_CURRENT_USER\Software\MIT\Kerberos5। সেই কীটি মানতে সেট করা হয়েছিল MSLSA:। আমাদের ফিক্সটি ছিল এটি পরিবর্তন করা API:। আরও নির্দিষ্টভাবে, পদক্ষেপগুলি ছিল:

  1. অন্যান্য সমস্ত অ্যাপ্লিকেশনগুলির সাথে কার্বেরোস টিকিট পরিচালক থেকে প্রস্থান করুন (যেহেতু আপনি পুনরায় আরম্ভ করবেন)।
  2. রেজিস্ট্রি পথে HKEY_CURRENT_USER\Software\MIT\Kerberos5, সিসনাম কী API:(এপিআই, তারপরে কোলন) এ পরিবর্তন করুন।
  3. রিজেডিট থেকে প্রস্থান করুন এবং পুনরায় চালু করুন।
  4. আবার লগ ইন করার পরে, কার্বেরোস টিকিট ম্যানেজারটি চালান, এবং আপনার নন-এডি অধ্যক্ষের টিজিটি পেতে গেট টিকিট বোতামটি ব্যবহার করুন।

উপরের পদক্ষেপগুলির সাহায্যে সমস্ত কিছুই কাজ করেছে এবং আমি সহকর্মী এখন এক সাথে একাধিক প্রিন্সিপাল / টিজিটি দেখতে সক্ষম।

যাইহোক, উইন্ডোজের জন্য এমআইটি কার্বেরোস নিজস্ব কমান্ড-লাইন প্রোগ্রামগুলির সেট (যেমন ক্লিস্ট) এনেছে এবং সেই প্রোগ্রামগুলি একাধিক শংসাপত্রের ক্যাশে সমর্থন করে। আমার "C:\Program Files\MIT\Kerberos\bin\klist.exe" -A"-৪ -বিট সিস্টেমে, যখন আমি একাধিক টিজিটি পেয়েছি তখন আমি এমএসএলএসএ ক্যাশে আমার সক্রিয় ডিরেক্টরি অধ্যক্ষকে দেখতে পাই এবং তারপরে প্রতিটি অতিরিক্ত অধ্যক্ষের জন্য আমার একটি করে এপিআই ক্যাশে রয়েছে।

পিএস এটি এই সাইটে আমার প্রথম এন্ট্রি, তাই টডিয়াসের উত্তরের মন্তব্য হিসাবে আমি এটিকে যুক্ত করতে পারিনি। দুঃক্ষিত!

কার্ল কর্নেল
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.