kerberos + active directory

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Ответить
kaig
ефрейтор
Сообщения: 52
Зарегистрирован: 2013-05-14 17:47:24

kerberos + active directory

Непрочитанное сообщение kaig » 2013-08-07 13:58:03

Приветствую всех! Понадобилось использовать связку ad+kerberos в freebsd 9.1 для squid. Но столкнулся с такой проблемой, не удается настроить kerberos аутентификацию, с помощью samba получилось, но ntml метод не подходит. Действия которые делал я:
На контроллере домена создал учетную запись test, создал запись А и PTR (HTTP/test.domain.local), nslookup проверил доступность к рабочей станции, здесь ничего особенного, все работает.
Далее сгенерировал ключ через командную строку

Код: Выделить всё

ktpass /princ HTTP/host.domain.local@DOMAIN.LOCAL /mapuser test@DOMAIN.LOCAL /pass ***** /crypto ALL /ptype KRB5_NT_PRINCIPAL /out C:\tmp\squid.keytab
На рабочей станции добавил запись в /etc/hosts

Код: Выделить всё

192.168.0.20 test.domain.local test
Также добавил запись в resolv.conf

Код: Выделить всё

domain domain.local
search domain.local
nameserver 192.168.0.3 (ip контроллера домена)
установил из портов kerberos
Далеее проверил доступность контроллера домена, здесь все успешно

Код: Выделить всё

cd /usr/ports/security/krb5
make config
make install clean
далее создал файл /etc/krb5.conf и в нем прописал следующее:

Код: Выделить всё

[libdefaults]
 default_realm = DOMAIN.LOCAL
 dns_lookup_realm = true
 dns_lookup_kdc = true
 kdc_timesync = 1
 ticket_lifetime = 24h
 forwardable = true
 proxiable = true
 default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
 default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
 permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5


[realms]
 DOMAIN.LOCAL = {
  kdc = domain.domain.local
  admin_server = domain.domain.local
  default_domain = domain.local
 }

[domain_realm]
.domain.local = DOMAIN.LOCAL
domain.local = DOMAIN.LOCAL
скопировал сгенерированный ключ на рабочую станцию, проверяю доступность и пишет вот что

Код: Выделить всё

kinit -v -k -t squid.keytab HTTP/test.domain.local
kinit: krb5_cc_get_principal: open(/tmp/krb5cc_0): No such file or directory
Вернуться к началу
Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Вернуться к началу
kaig
ефрейтор
Сообщения: 52
Зарегистрирован: 2013-05-14 17:47:24

Re: kerberos + active directory

Непрочитанное сообщение kaig » 2013-08-07 14:07:53

Код: Выделить всё

 kinit test
test@DOMAIN.LOCAL's Password:
root@test:/ # klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: test@DOMAIN.LOCAL

  Issued           Expires          Principal
Aug  7 15:05:37  Aug  8 01:05:37  krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
root@test:/ # kinit -v -k -t squid.keytab HTTP/test.domain.local
kinit: krb5_get_kdc_cred: KDC can't fulfill requested option
Вернуться к началу