এটি কি কার্বেরোস / এডি সেটআপ সম্ভব?

10

আমাদের কিছুটা জটিল আইডিএএম সেটআপ রয়েছে:

এখানে চিত্র বর্ণনা লিখুন

অর্থাত্ শেষ ব্যবহারকারীর মেশিন এবং ব্রাউজার প্যারেন্ট এডি এর সাথে একটি নেটওয়ার্কে বসে এবং আমাদের জেটি ভিত্তিক অ্যাপ্লিকেশন এবং যে AD এর সাথে কথা বলতে পারে (স্থানীয় এডি) অন্যটিতে বসে।

দুটি খ্রিস্টাব্দের মধ্যে দ্বিমুখী বিশ্বাস রয়েছে। প্যারেন্ট নেটওয়ার্কের ব্রাউজারটির বিশ্বস্ত সাইটগুলিতে স্থানীয় ডোমেন থাকে।

জেটি সার্ভারের সেটআপটি নিম্নরূপ:

  • এটি স্থানীয় এডিতে একটি অধ্যক্ষের বিরুদ্ধে উত্পন্ন কীট্যাব ফাইল ব্যবহার করে
  • এটি স্থানীয় এডিতে সংজ্ঞায়িত ব্যবহারকারীর অধীনে উইন্ডোজ পরিষেবা হিসাবে চলছে
  • রিয়েল, ডোমেন-রিয়েলম ম্যাপিং এবং কেডিসি স্থানীয় এডির ডোমেনের বিপরীতে সংজ্ঞায়িত করা হয়
  • এটি স্পেনগো ব্যবহার করে - isInitiator মিথ্যা হিসাবে সেট করা হয়েছে; doNotPrompt সত্য; storeKey সত্য

সমস্যা হল:

  • পরীক্ষা হিসাবে, স্থানীয় নেটওয়ার্কের ভিতরে ব্রাউজার থেকে সার্ভার অ্যাক্সেস করা (যেমন স্থানীয় এডির সাথে সংযুক্ত) কাজ করে - লগগুলিতে কার্বেরোস ডিবাগ তথ্য উপস্থিত হয়, আমি HTTP ট্র্যাফিকের মধ্যে সঠিক কার্বেরোস আলাপচারিতা দেখতে পাচ্ছি এবং ব্যবহারকারী স্বয়ংক্রিয়ভাবে সাইন ইন হয়ে গেছে । উজ্জ্বল।

  • তবে , প্যারেন্ট নেটওয়ার্কের ভিতরে ব্রাউজার থেকে সার্ভার অ্যাক্সেস করা (যা আমাদের ব্যবহারকারীরা কীভাবে কাজ করবেন) কাজ করে না! ব্রাউজারটি 401 জন অক্ষম ফিরে আসে তবে শংসাপত্রগুলির জন্য অনুরোধ জানায়, যা প্রবেশ করার পরে একটি ফাঁকা স্ক্রিন দেয়। তারপরে শংসাপত্রগুলি দূরবর্তী বা স্থানীয় AD এর জন্য কিনা তার উপর নির্ভর করে ঠিকানা বারে ক্লিক করে এন্টার টিপুন দুটি জিনিসগুলির মধ্যে একটি করে:

    • স্থানীয় এডি শংসাপত্রগুলি লগগুলিতে স্ক্র্যাচ থেকে কার্বেরোসের সাথে জরিমানায় লগ ইন করুন (জিইটি অনুরোধ, 401 অলৌকিক প্রতিক্রিয়া, কার্বেরোস শিরোনামের অনুরোধ, ইত্যাদি)
    • রিমোট AD শংসাপত্রগুলি লগইন করে না (জিইটি অনুরোধ, 401 অলৌকিক প্রতিক্রিয়া, এনটিএলএম শিরোনামের মতো দেখতে Authorization: Negotiate <60 or so random chars>:)

যেভাবেই হোক, এটি প্রম্পট করার বিষয়টি ভুল!

এই লক্ষণগুলির জন্য কোনও ব্যাখ্যা আছে কি? আমাদের সেটআপ কি আমরা চাই তা করতে পারি?

উপরোক্ত বর্ণনাটি সম্পর্কে কী ভুল হতে পারে: জেটি সার্ভারের বিষয়ে আমি যে কোনও কনফিগারেশন উল্লেখ করেছি তা সঠিক হওয়া উচিত, যেমনটি আমি এটি করেছি। আমি আরও বিশদ সরবরাহ করে খুশি। এডি বা পিতামাত নেটওয়ার্ক ব্রাউজারটি সম্পর্কিত যে কোনও কনফিগারেশন সম্ভবত সন্দেহযুক্ত কারণ এটি আমার নিয়ন্ত্রণে নেই এবং আমি নিজেই এটি দেখার চেয়ে কনফিগারেশনটি আমাকে জানিয়েছি।

active-directory  kerberos  jetty  spnego 
রবার্ট গ্রান্ট
সূত্র
_kerberos._tcp.OurITOrgDomain এবং _kerberos._tcp.partentdomain এর জন্য ডিএনএস ফলাফলের তালিকাভুক্ত সার্ভারগুলির জন্য ব্রাউজারের মধ্যে কি টিসিপি / 88 খোলা আছে? আপনি জেটি সার্ভারে প্রমাণীকরণের জন্য প্রয়োজনীয় শংসাপত্রগুলি মেশিনের 'ব্রাউজার' থেকে কিন্তিত করতে পারেন?
জ্যাকব ইভান্স
roguelynn.com/words/explain- Like-im-5-kerberos আপনার ফায়ারওয়াল কীভাবে আপনার সমস্যার কারণ হতে পারে সে সম্পর্কে কিছুটা আলোকপাত করতে পারে (আবার, 88 আপনার ক্লায়েন্টের কাছ থেকে উভয় ডিসি)
জ্যাকব ইভান্স
নেটওয়ার্ক ক্যাপচার না নিয়ে বিশদ ধাপে ধাপে বিশদের জন্য অনেকগুলি ভেরিয়েবল রয়েছে। তারপরে আপনি তাড়াতাড়ি দেখতে পাবেন যে এসপিএনগুলি সঠিকভাবে সেটআপ করা আছে বা চুপচাপ প্রমাণীকরণের জন্য ব্রাউজারটি কনফিগার করা দরকার কিনা।
ব্যবহারকারী 2320464

উত্তর:

3

প্যাকেট ক্যাপচারটি না দেখে, আমি অনুমান করতে পারি যে এইচটিটিপি / www.website.com এসপিএন অ্যাপ্লিকেশন চলমান অ্যাকাউন্টে নিবন্ধিত হওয়া দরকার। মাইক্রোসফ্টের ডিরেক্টরি ডিরেক্টরি পরিষেবাদি দলের নীচে ইউআরএলে এই বিষয়টিকে সম্বোধন করার জন্য একটি দুর্দান্ত বহু-অংশ পোস্ট রয়েছে।

https://blogs.technet.microsoft.com/askds/2008/05/29/kerberos-authentication-problems-service-principal-name-spn-issues-part-1/

এসপিএন কী দেখছে তা সনাক্ত করতে প্রতিটি পরিবেশের একটি ক্লায়েন্টের কাছ থেকে একটি প্যাকেট ক্যাপচার (নেটমন, তারশার্ক) চালান। এটি নির্ধারিত হয়ে গেলে, অ্যাপ্লিকেশন চলমান অ্যাকাউন্টে নিবন্ধন করতে সেপস্পেন সিএমডি ব্যবহার করুন ।

এফডাব্লুআইডাব্লু, কার্বেরোস কেবল ল্যানে থাকাকালীনই কাজ করে। ডোমেন নিয়ন্ত্রকগুলি অ্যাক্সেসযোগ্য নয় এমন জায়গায় যদি কারও অ্যাক্সেসের প্রয়োজন হয় তবে আপনি শিববোলেথ বা এডিএফএসের মতো কোনও এসএসও বিবেচনা করতে চাইবেন।

সম্পাদনা: @ অ্যালেক্স-এইচ দ্বারা বর্ণিত হিসাবে , ব্রাউজারগুলি কার্বেরোসের মাধ্যমে নিঃশব্দে প্রমাণীকরণের জন্য কনফিগার করা প্রয়োজন।

শেষ অবধি, মাইক্রোসফ্ট শেয়ারপয়েন্ট মোতায়েনের সাথে এটি একটি সাধারণ সমস্যা। ব্যবহারকারীরা ডোমেনে প্রমাণীকরণ করলে তারা কেরবেরোসের মাধ্যমে এসএসও নিঃশব্দে ঘটতে চায়। সুতরাং উপরের উত্তরগুলি যদি আপনার সমস্যার সমাধান না করে তবে তাদের ফোরামগুলি যেমন নীচের হিসাবে পরীক্ষা করার চেষ্টা করুন:

ক্রোম, সাফারি বা ফায়ারফক্সে কার্বারোস

user2320464
সূত্র
একটি ভাল উত্তর, আমার চেয়ে ভাল!
অ্যালেক্স এইচ
আপনাদের উভয়েরই ধন্যবাদ - লিঙ্কযুক্ত ডকসটি পড়তে আমার কয়েক দিন সময় লাগবে, তবে আমি প্রশ্ন বা কিছুই ত্যাগ করিনি!
রবার্ট গ্রান্ট
আহ, এটি আসলে তা ছিল না, তবে আমি মনে করি এই উত্তরটি গ্রহণ করা সম্ভবত ভাল as কারণ আসলটি একটি অত্যন্ত অস্বাভাবিক ঘটনা যা আমি পৃথক উত্তর হিসাবে যুক্ত করব। আপনাকে অনেক ধন্যবাদ!
রবার্ট গ্রান্ট
0

দয়া করে এমন ব্রাউজার থেকে প্রথম চেষ্টা করুন যাতে এনটিএলএম সক্ষম নয় (ক্রোম / ফায়ারফক্স)। দেখে মনে হচ্ছে যে সমস্যাটি হ'ল আপনি পূর্ব প্রমাণীকরণ সক্ষম করেছেন এবং দ্বিমুখী বিশ্বাসের জায়গা নাও পাওয়া সম্ভব।

প্রাক প্রমাণীকরণের জন্য এখানে https://support.microsoft.com/en-us/kb/2749007 দেখুন এবং এখানে https://hc.apache.org/httpcompferences-client-ga/tutorial/html/authentication.html

অ্যালেক্স এইচ
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.