nix'овый сервис с интеграцией в Kerberos

0

1

Если вам нужен сабж, вы как поступаете:

1) Вводите машину в домен и пользуетесь её keytab'ом
Пример: http://community.igniterealtime.org/docs/DOC-1522

2) Создаёте фиктивную учётку в AD и мэпите на неё setspn'ом HOST/hostname и service/hostname ?
Пример: http://msdn.microsoft.com/en-us/library/ms995329.aspx

Дело в том, что я пошёл первым путём, хост прекрасно вошёл в домен Samb'ой, но проблем огрёб просто немеряно. В моём случае, например, как ни ухищряйся, сервис xmpp/hostname не считается KDC принципалом, хотя и мэпинг ktpass'ом сделан, и в setspn -L сервис есть :(

Ссылка

←	После установки nvidia-current перестал работать Ctrl+Alt+F1

Структура apache2 /etc/httpd/conf/httpd.conf в Fedora 14(допустим)

→

в основном первым способом, проблем замечено не было(кроме невозможности логина в домен когда контроллер выключен, но это фича а не баг ;)). Один раз пользовал второй способ, ИМХО первый лучше

Pinkbyte ★★★★★
(13.12.10 17:22:06 MSK)

приходится вводить, второй вариант явно кривее

~~maxpayne_2~~
(13.12.10 17:25:23 MSK)

Ссылка

Ответ на: комментарий от Pinkbyte 13.12.10 17:22:06 MSK

Тогда, может, подсобите, а? У меня клиент, запущенный с введённого в домен хоста, делает некий TGS REQ на имя xmpp/hostname, KDC ему говорит, что ERR_S_NOT_FOUND (типа сервер не найден в базе илши сервис не найден). Но он есть, он есть!! Я это точно знаю, потому что сам его добавлял setspn'ом и мапил потом на учётку юзеру в Active Directory. Я даже могу для сделать kinit xmpp/hostname и получить тикет! :(
В чём трабла может быть?

DRVTiny ★★★★★
(14.12.10 02:23:56 MSK) автор топика

Ответ на: комментарий от DRVTiny 14.12.10 02:23:56 MSK

тут самое главное не перепутать как хранится запись в LDAP. ЕМНИП(хотя дааавно это было) запись вида xmpp/hostname нормально воспринимается только MIT Kerberos и Heimdal, AD от такого дуреет и гонит фигню, хотя авторизация вроде бы проходит. Повторюсь - это было давно, поэтому возможно я щаз сказал дикую ересь

Pinkbyte ★★★★★
(14.12.10 08:44:12 MSK)

Ответ на: комментарий от Pinkbyte 14.12.10 08:44:12 MSK

/как хранится запись в LDAP/как хранится запись в LDAP, откуда ее читает Kerberos/AD

obvious fix

Pinkbyte ★★★★★
(14.12.10 08:44:52 MSK)

Ссылка

Ответ на: комментарий от Pinkbyte 14.12.10 08:44:12 MSK

>AD от такого дуреет и гонит фигню
AD как каталог аккаунтов дуреет, но для Kerberos-а Microsoft'ского это родной формат (как и для любого другого). Чтобы это дело юзать, нужно мапить Kerberos-принципала на account в AD. Есть у меня какое-то недоброе подозрение, что:

Раз) После ввода в домен воркстэйшна hostname получается аккаунт компа HOSTNAME$
Два) Далее либо нужно мапить HOST/hostname как раз таки на HOSTNAME$, либо этот мап уже есть в создаваемом Samba файле /etc/krb5.keytab ... Сдаётся мне, что второе, ибо там HOSTNAME$ и host/hostname есть

DRVTiny ★★★★★
(14.12.10 12:05:58 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	После установки nvidia-current перестал работать Ctrl+Alt+F1

Admin

Структура apache2 /etc/httpd/conf/httpd.conf в Fedora 14(допустим)

→

Похожие темы