web-dev-qa-db-ja.com

ケルベロスまたはハイムダルに対して認証するためにWindowsXPを取得する方法

Kerberosまたはheimdal(OSがUbuntu、FreeBSD、またはOpenBSDのいずれか)に対して認証するクライアントとしてwindows XPを取得するにはどうすればよいですか)

3
rev

Windows XP標準ベースのKerberosKDCのクライアント)でActive Directoryドメインに似た「シングルサインオン」機能を取得したい場合は、ハッキングを行う必要があります。

Kerberosレルムに対する認証を構成するためのWindows2000時代のガイドは次のとおりです。 http://technet.Microsoft.com/en-us/library/bb742433.aspx

ActiveDirectoryからWindows XPクライアントの「ワークステーションの信頼」およびログオンプロセスは、単なる標準ベースのKerberos以上のものです。WindowsXPは、Kerberosレルムに対して認証できます。ただし、Kerberos資格情報はローカルユーザーアカウントに「マップ」する必要があります。これは、ローカルユーザーアカウントが必要ない限り、ドメインに参加しているWindows XPマシンと同じ機能ではありません。ドメインに参加する場合。ドメインのような機能を取得する場合は、Kerberos資格情報の各セットに対応するローカルユーザーアカウントを作成する必要があります。

ドメインのような動作を偽造できるWindowsのデフォルトの「GraphicalIdentificationaNdAuthentication」(GINA)モジュールに代わるものがあります。この機能を実行するための「正しい方法」は、標準ベースのKerberos用のLSAセキュリティサポートプロバイダー(SSP)を作成することです(これは、Microsoft以外の誰もが行ったとは思わない)。

4
Evan Anderson

pGinaプロジェクト がありましたが、これはコードの腐敗に悩まされ始めています。安定していますが、最後の手段としてのみ使用します。 Kerberosサポートを提供することに加えて、考えられるほぼすべてのものとのインターフェースを可能にするモジュラーフレームワークもあります。データベース、RADIUSなどの例があります。これは「pam」に相当するオープンソースと考えてください。 Windows用のスタック。

ソースコードはまだ利用可能であり、少なくともコアコードは1.0マークをはるかに超えており、本番環境に適しています。本当の問題は、いくつかのモジュールを取り巻くコードの品質です。いくつかは安定していますが、いくつかは概念実証よりもかろうじて優れています。

3
Avery Payne