Получить SPNs из Windows AD на MacOS

kerberos, macos, устал

0

1

Всем здравствуйте.

UPD: я не прошу готового решения, если знаете что-то - посоветуйте куда копать.

Есть небольшая ргадость на сей вечер.
Собс-нно сабж.

Есть MacOS подключенный в ~~Шинд~~ Windows AD.
В Windows AD есть такая вещь как SPN [Service Principal Names].

Задача: нужно по запросу получать те самые (будь они не ладны) SPN.

Для чего: SPN используется для аутентификации на ресурсе при настройке самой MacOS.

Что накопал: SPN прилетают (удалял перед тем) после рестарта Wi-Fi

ifconfig %wifi_interface% down
ifconfig %wifi_interface% up

То есть когда поднимается сеть.

Посмотреть есть ли нужная запись можно командой: sudo ktutil list

Вывод: sudo ktutil list

FILE:/etc/krb5.keytab:

Vno  Type                     Principal                               
  7  arcfour-hmac-md5         host/ltcs-mm-001.domain.lcl@DOMAIN.LCL                                                                             
  7  aes256-cts-hmac-sha1-96  host/ltcs-mm-001.domain.lcl@DOMAIN.LCL                                                                             
  7  aes128-cts-hmac-sha1-96  host/ltcs-mm-001.domain.lcl@DOMAIN.LCL                                                                             
  7  arcfour-hmac-md5         afpserver/ltcs-mm-001.domain.lcl@DOMAIN.LCL                                                                        
  7  aes256-cts-hmac-sha1-96  afpserver/ltcs-mm-001.domain.lcl@DOMAIN.LCL                                                                        
  7  aes128-cts-hmac-sha1-96  afpserver/ltcs-mm-001.domain.lcl@DOMAIN.LCL                                                                        
  7  arcfour-hmac-md5         cifs/ltcs-mm-001.domain.lcl@DOMAIN.LCL                                                                             
  7  aes256-cts-hmac-sha1-96  cifs/ltcs-mm-001.domain.lcl@DOMAIN.LCL                                                                             
  7  aes128-cts-hmac-sha1-96  cifs/ltcs-mm-001.domain.lcl@DOMAIN.LCL                                                                             
  7  arcfour-hmac-md5         vnc/ltcs-mm-001.domain.lcl@DOMAIN.LCL                                                                              
  7  aes256-cts-hmac-sha1-96  vnc/ltcs-mm-001.domain.lcl@DOMAIN.LCL                                                                              
  7  aes128-cts-hmac-sha1-96  vnc/ltcs-mm-001.domain.lcl@DOMAIN.LCL                                                                              
  7  arcfour-hmac-md5         ltcs-mm-001$@DOMAIN.LCL                                                                                            
  7  aes256-cts-hmac-sha1-96  ltcs-mm-001$@DOMAIN.LCL                                                                                            
  7  aes128-cts-hmac-sha1-96  ltcs-mm-001$@DOMAIN.LCL

То есть мне нужно как-то перезагрузить opendirectoryd/Kerberos или хз даже.
Знаний не хватает или опыта.

По SPN читал вот эту доку: https://docs.microsoft.com/en-us/windows/win32/ad/service-principal-names

Ссылка

←	Как получить список пользователей LDAP

Изменение скрипта мониторинга лога

→

SPN используется для аутентификации на ресурсе при настройке самой MacOS.

Нет. SPN нужен для сервера.
Допустим, есть у тебя Web-cервер. И вот ты хочешь на нем проводить аутентификацию пользователей. Вот тогда тебе нужен SPN. Это только твой личный SPN, и никто менять его не вправе! Измениться он может только если ты сам захочешь поменять пароль у аккаунта в AD, к которому привязан этот SPN. Но коли уж ты меняешь пароль - то уж будь добр заново выгрузить ключи в /etc/krb5.keytab после этого.

А если твой SPN вдруг меняется сам по себе без твоего ведома - это писец какой. Это значит, что твой сервис вышибли из домена. Это значит, ты ничего не контролируешь.

Короче все у тебя через жопу как-то.

bigbit ★★★★★
(21.02.20 00:25:22 MSK)

Ответ на: комментарий от bigbit 21.02.20 00:25:22 MSK

В моем случае используется SPN обьекта компьютер и вот нужно именно это:

заново выгрузить ключи в /etc/krb5.keytab после этого.

Я когда ПК в домен ввожу, он не сразу получает SPN.
И нужно это дело ему форсировать. Не будет же скрипт ждать, когда-там SPN прилетит.

Большое спасибо за ответ.

i3wm
(21.02.20 00:57:21 MSK) автор топика

Ответ на: комментарий от i3wm 21.02.20 00:57:21 MSK

Я когда ПК в домен ввожу, он не сразу получает SPN.

Это ерунда какая-то.
Ввод в домен и заключается в создании shared-secret'а: в AD и в локальном файле (/etc/krb5.keytab). При вводе в домен ключи сами должны выгружаться в локальный кейтаб. «net ads join» или «acli» делают это автоматически. Если это не делается, то это не ввод в домен, а хрень какая-то.

bigbit ★★★★★
(21.02.20 01:09:11 MSK)

Ответ на: комментарий от bigbit 21.02.20 01:09:11 MSK

Прошу, подскажите, что по даной теме можно почитати, а то я свосем ничего не знаю по даной теме.

anonymous
(21.02.20 01:22:35 MSK)

Ответ на: комментарий от bigbit 21.02.20 01:09:11 MSK

Благодарю, буду изучать тему на досуге.

i3wm
(21.02.20 01:29:10 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 21.02.20 01:22:35 MSK

Мне в свое время очень помогли 2 книги:

Kerberos: The Definitive Guide
Windows 2000 Server Distributed Systems Guide (из Win2K Resource Kit)

bigbit ★★★★★
(21.02.20 01:45:13 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как получить список пользователей LDAP

Admin

Изменение скрипта мониторинга лога

→

Похожие темы