[Решено] macOS «не работает» kinit при подключении через SSH

0

1

Решение:
В переменные окружения root-a передавалась переменная KRB5CCNAME
Которая в свою очередь формировалась при логине по SSH
После - unset KRB5CCNAME 
Всё работает отлично.

Колеги, проблема след. характера.

При локальном использовании - работает отлично. При подключении через SSH от имени лок. админа - работает отлично.

При подключении через SSH от имени доменного пользователя - сразу заказывается Kerberos TGT.

Командой klist видно

Credentials cache: API:*******
        Principal: ********

  Issued                Expires               Principal
Oct  4 13:27:09 2019  Oct  4 23:27:09 2019  ****************

По условиям поставленной задачи - нам тикет нужен в котором в поле Principal: выступает $(hostname -s)$

Затем делаем kdestroy дабы убрать существующий TGT И заказываем новый

hostname:~ *****$ sudo kinit -V -e aes256-cts-hmac-sha1-96 -k $(hostname -s)$; echo $?
Placing tickets for '**********' in cache '*********'
0
******:~ ****** klist
klist: krb5_cc_get_principal: No credentials cache file found

Тоесть, тикет вроде заказан успешно и помещен в cache API:такой-то, но либо SSH его не видит. Либо я торможу.

Вопрос. Куда копать?

P.S. Мак в домене. Заведен в домен при помощи /usr/sbin/dsconfigad

Ссылка

←	Squid на отдельном хосте, истекло время ожидания

Регулярное выражение

→

А ты точно уверен, что керберос на маке работает? И как ты его готовил? Хотя бы показал что ты делаешь, а то гадать по кофейной не выйдет, ибо телепаты в отпуске

Deleted
(04.10.19 13:25:02 MSK)

держи в курсе

Anoxemian ★★★★★
(04.10.19 13:31:16 MSK)

Ответ на: комментарий от Deleted 04.10.19 13:25:02 MSK

Прошу прощения, опубликовал пост перед тем как написал тело обращения)

i3wm
(04.10.19 13:35:38 MSK) автор топика

Ссылка

Ответ на: комментарий от Anoxemian 04.10.19 13:31:16 MSK

Добавил описание.

i3wm
(04.10.19 13:36:10 MSK) автор топика

Ссылка

sudo kinit

Ну sudo klist тогда уже делай, и sudo ssh )

vasily_pupkin ★★★★★
(04.10.19 13:38:43 MSK)

Ответ на: комментарий от vasily_pupkin 04.10.19 13:38:43 MSK

Я уже пробовал при коннекте через SSH - sudo su

whoami говорит root

А тикет - та же ситуация.

i3wm
(04.10.19 13:41:15 MSK) автор топика

Ссылка

Ответ на: комментарий от vasily_pupkin 04.10.19 13:38:43 MSK

Вот, будучи подключенним через SSH сделал sudo su

bash-3.2# klist 
klist: krb5_cc_get_principal: No credentials cache file found
bash-3.2# whoami
root
bash-3.2# kinit -V -e aes128-cts-hmac-sha1-96 -k $(hostname -s)$
Placing tickets for 'hostname$@domain.lcl' in cache 'API:********'
bash-3.2# klist 
klist: krb5_cc_get_principal: No credentials cache file found
bash-3.2#

i3wm
(04.10.19 13:44:07 MSK) автор топика

Ответ на: комментарий от i3wm 04.10.19 13:44:07 MSK

Попробую установить brew и обновить ssh

Сейчас

bash-3.2# ssh -v localhost
OpenSSH_7.8p1, LibreSSL 2.6.2

i3wm
(04.10.19 13:58:23 MSK) автор топика

Ссылка

Ответ на: комментарий от i3wm 04.10.19 13:44:07 MSK

Чето не понятно. Ты хочешь что бы на той тачке, на которую ты залогинился, автоматом выпускался TGT? Или что?

vasily_pupkin ★★★★★
(04.10.19 14:02:41 MSK)

Ответ на: комментарий от vasily_pupkin 04.10.19 14:02:41 MSK

Автоматом он и без того выпускается.

Только принципалм является аккаунт от которого залогинились.

А мне нужно, чтоб принципалом являлся аккаунт компьютера.

И при заказе тикета от имени ПК - он вроде как и заказыватся, ошибок нет, но система не видит. Или SSH не видит.

i3wm
(04.10.19 14:14:57 MSK) автор топика

Ответ на: комментарий от i3wm 04.10.19 14:14:57 MSK

Обновление ssh не помогло.

i3wm
(04.10.19 14:23:29 MSK) автор топика

Ссылка

Ответ на: комментарий от i3wm 04.10.19 13:44:07 MSK

sudo su -

anonymous
(04.10.19 15:56:49 MSK)

Ответ на: комментарий от anonymous 04.10.19 15:56:49 MSK

Работает. Спасибо добрый человек.

i3wm
(04.10.19 16:06:00 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 04.10.19 15:56:49 MSK

В окружение root передавалсь переменная KRB5CCNAME от аккаунта с которого логинился по SSH. После unset KRB5CCNAME - всё отлично.

i3wm
(04.10.19 16:37:42 MSK) автор топика

Ответ на: комментарий от i3wm 04.10.19 16:37:42 MSK

В окружение root передавалсь переменная

в этом и есть смысл '-', чтобы не передавались переменные из текущего окружения.

anonymous
(04.10.19 16:43:52 MSK)

Ответ на: комментарий от anonymous 04.10.19 16:43:52 MSK

Не опытний еще, матчасть плохо знаю. :) Благодарю.

i3wm
(04.10.19 16:54:34 MSK) автор топика

Ссылка

Немного оффтопа. Вопрос. На текущий момент и в вашем варианте использования какой профит от заведения мака в ад? Правда интересно.

anc ★★★★★
(04.10.19 18:43:40 MSK)

Ответ на: комментарий от anc 04.10.19 18:43:40 MSK

Управление групами прав. Динамическое инвентори с AD. Разброс политик на основании груп в которых объект. Мониторинг сети. Выдача сертификатов 8021х.

i3wm
(04.10.19 19:31:35 MSK) автор топика

Ответ на: комментарий от anc 04.10.19 18:43:40 MSK

Ну и пользователи доменные.

i3wm
(04.10.19 19:32:57 MSK) автор топика

Ссылка

Ответ на: комментарий от i3wm 04.10.19 19:31:35 MSK

Даже так. Действительно за годы что-то поменялось. Спасибо.
ЗЫ У меня когда-то OD был в варианте много маков, со временем стало не актуально, а ад тогда был так себе, не пришей кобыле хвост, толку ровно ноль, кроме как пользователями рулить.

anc ★★★★★
(04.10.19 19:49:33 MSK)
Последнее исправление: anc 04.10.19 19:50:51 MSK (всего исправлений: 1)

Ответ на: комментарий от anc 04.10.19 19:49:33 MSK

Дык, АД на маке само по себе не очень надобно. Много, что смотрит в АД, видит там группу и применяет что-то, но, по сути - это делается при помощи третьих инструментов. А-ля, ансибл, паппет…

i3wm
(04.10.19 19:54:02 MSK) автор топика

Ответ на: комментарий от i3wm 04.10.19 19:31:35 MSK

И ещё до кучи вопрос, он в мобильные профили уже научился работать без глюков? Или у вас такой задачи возможно нет?

anc ★★★★★
(04.10.19 19:54:15 MSK)

Ответ на: комментарий от anc 04.10.19 19:54:15 MSK

Вот с профилями настройки только начинаю играться)

i3wm
(04.10.19 19:55:11 MSK) автор топика

Ответ на: комментарий от i3wm 04.10.19 19:54:02 MSK

Аааа, всё по старинке, ничего не поменялось. Понял. Ещё раз спасибо.

anc ★★★★★
(04.10.19 19:55:25 MSK)

Ссылка

Ответ на: комментарий от i3wm 04.10.19 19:55:11 MSK

Возможно вы не поняли, я про синхронизацию профилей, ну вот у вас «ноут» и «комп», ноут «уехал», когда оказался в сети мы синхронизируем профили между «комп» и «ноут». Только все это не сторонними средствами а из каробки. Вот что интересно было.

anc ★★★★★
(04.10.19 20:01:57 MSK)
Последнее исправление: anc 04.10.19 20:02:45 MSK (всего исправлений: 1)

Ответ на: комментарий от anc 04.10.19 20:01:57 MSK

Я подобное в нас пока не встречал. Но думаю, шо ничего не поменялось) Вам спасибо, опробую на досуге.

i3wm
(04.10.19 20:15:37 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 04.10.19 15:56:49 MSK

sudo su -

Ой как некошерно, sudo -i же!

yurikoles ★★★
(05.10.19 16:22:37 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Squid на отдельном хосте, истекло время ожидания

Admin

Регулярное выражение

→

Похожие темы