LINUX.ORG.RU
ФорумAdmin

Получить SPNs из Windows AD на MacOS

 , ,


0

1

Всем здравствуйте.

UPD: я не прошу готового решения, если знаете что-то - посоветуйте куда копать.

Есть небольшая ргадость на сей вечер.
Собс-нно сабж.

Есть MacOS подключенный в Шинд Windows AD.
В Windows AD есть такая вещь как SPN [Service Principal Names].

Задача: нужно по запросу получать те самые (будь они не ладны) SPN.

Для чего: SPN используется для аутентификации на ресурсе при настройке самой MacOS.

Что накопал: SPN прилетают (удалял перед тем) после рестарта Wi-Fi

ifconfig %wifi_interface% down
ifconfig %wifi_interface% up

То есть когда поднимается сеть.

Посмотреть есть ли нужная запись можно командой: sudo ktutil list

Вывод: sudo ktutil list

FILE:/etc/krb5.keytab:

Vno  Type                     Principal                               
  7  arcfour-hmac-md5         host/ltcs-mm-001.domain.lcl@DOMAIN.LCL                                                                             
  7  aes256-cts-hmac-sha1-96  host/ltcs-mm-001.domain.lcl@DOMAIN.LCL                                                                             
  7  aes128-cts-hmac-sha1-96  host/ltcs-mm-001.domain.lcl@DOMAIN.LCL                                                                             
  7  arcfour-hmac-md5         afpserver/ltcs-mm-001.domain.lcl@DOMAIN.LCL                                                                        
  7  aes256-cts-hmac-sha1-96  afpserver/ltcs-mm-001.domain.lcl@DOMAIN.LCL                                                                        
  7  aes128-cts-hmac-sha1-96  afpserver/ltcs-mm-001.domain.lcl@DOMAIN.LCL                                                                        
  7  arcfour-hmac-md5         cifs/ltcs-mm-001.domain.lcl@DOMAIN.LCL                                                                             
  7  aes256-cts-hmac-sha1-96  cifs/ltcs-mm-001.domain.lcl@DOMAIN.LCL                                                                             
  7  aes128-cts-hmac-sha1-96  cifs/ltcs-mm-001.domain.lcl@DOMAIN.LCL                                                                             
  7  arcfour-hmac-md5         vnc/ltcs-mm-001.domain.lcl@DOMAIN.LCL                                                                              
  7  aes256-cts-hmac-sha1-96  vnc/ltcs-mm-001.domain.lcl@DOMAIN.LCL                                                                              
  7  aes128-cts-hmac-sha1-96  vnc/ltcs-mm-001.domain.lcl@DOMAIN.LCL                                                                              
  7  arcfour-hmac-md5         ltcs-mm-001$@DOMAIN.LCL                                                                                            
  7  aes256-cts-hmac-sha1-96  ltcs-mm-001$@DOMAIN.LCL                                                                                            
  7  aes128-cts-hmac-sha1-96  ltcs-mm-001$@DOMAIN.LCL       

То есть мне нужно как-то перезагрузить opendirectoryd/Kerberos или хз даже.
Знаний не хватает или опыта.

По SPN читал вот эту доку: https://docs.microsoft.com/en-us/windows/win32/ad/service-principal-names


SPN используется для аутентификации на ресурсе при настройке самой MacOS.

Нет. SPN нужен для сервера.
Допустим, есть у тебя Web-cервер. И вот ты хочешь на нем проводить аутентификацию пользователей. Вот тогда тебе нужен SPN. Это только твой личный SPN, и никто менять его не вправе! Измениться он может только если ты сам захочешь поменять пароль у аккаунта в AD, к которому привязан этот SPN. Но коли уж ты меняешь пароль - то уж будь добр заново выгрузить ключи в /etc/krb5.keytab после этого.

А если твой SPN вдруг меняется сам по себе без твоего ведома - это писец какой. Это значит, что твой сервис вышибли из домена. Это значит, ты ничего не контролируешь.

Короче все у тебя через жопу как-то.

bigbit ★★★★★
()
Ответ на: комментарий от bigbit

В моем случае используется SPN обьекта компьютер и вот нужно именно это:

заново выгрузить ключи в /etc/krb5.keytab после этого.

Я когда ПК в домен ввожу, он не сразу получает SPN.
И нужно это дело ему форсировать. Не будет же скрипт ждать, когда-там SPN прилетит.

Большое спасибо за ответ.

i3wm
() автор топика
Ответ на: комментарий от i3wm

Я когда ПК в домен ввожу, он не сразу получает SPN.

Это ерунда какая-то.
Ввод в домен и заключается в создании shared-secret'а: в AD и в локальном файле (/etc/krb5.keytab). При вводе в домен ключи сами должны выгружаться в локальный кейтаб. «net ads join» или «acli» делают это автоматически. Если это не делается, то это не ввод в домен, а хрень какая-то.

bigbit ★★★★★
()
Ответ на: комментарий от bigbit

Прошу, подскажите, что по даной теме можно почитати, а то я свосем ничего не знаю по даной теме.

anonymous
()
Ответ на: комментарий от bigbit

Благодарю, буду изучать тему на досуге.

i3wm
() автор топика
Ответ на: комментарий от anonymous

Мне в свое время очень помогли 2 книги:

  • Kerberos: The Definitive Guide
  • Windows 2000 Server Distributed Systems Guide (из Win2K Resource Kit)
bigbit ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.