LINUX.ORG.RU
ФорумAdmin

Беда с кейтабом.


0

1

Добрый день, чайник, изучаю линуксы, собрался сделать прокси сервер с авторизацией через AD, делаю по инструкции ( http://www.zonepc.ru/avtorizaciya-squid-v-active-directory-cherez-kerberos/ ), возникла проблема на этапе проверки кейтаба, кейтаб генерировал следующим образом:

ktpass -princ HTTP/sproxy.ssoft.local@SSOFT.LOCAL -mapuser squid@ssoft.local -crypto RC4-HMAC-NT -pass 593021 -ptype KRB5_NT_PRINCIPAL -out sproxy.keytab

sproxy- прокси сервер ssoft.local- домен

Прокси сервер прописан на днс, пользователь squid создан на ад

Далее даю команду

kinit -V -k -t /etc/krb5.keytab HTTP/sproxy.ssoft.local@SSOFT.LOCAL

На что получаю

Using default cache: /tmp/krb5cc_0
Using principal: HTTP/sproxy.ssoft.local@SSOFT.LOCAL
Using keytab: /etc/krb5.keytab
kinit: Client not found in Kerberos database while getting initial credentials

При простом kinit рандомный юзер ад всё ок, нагуглил, что это означает, что на ад не найден пользователь

Мой конфиг кербероса:

[appdefaults]
pam = {
debug = false
alt_auth_map = %s
force_alt_auth = true
ticket_lifetime = 24h
renew_lifetime = 24h
forwardable = true
krb4_convert = false
}

[libdefaults]
default_realm = SSOFT.LOCAL
ticket_lifetieme = 24h
dns_lookup_realm = false
dns_lookup_kdc = false
kdc_timesync = 1
ccache_type = 4
forwardable = yes
rdns = no
#        proxiable = true

default_keytab_name = /etc/krb5.keytab
default_tgs_enctypes = des-cbc-crc rc4-hmac des-cbc-md5
default_tkt_enctypes = des-cbc-crc rc4-hmac des-cbc-md5
permitted_enctypes = des-cbc-crc rc4-hmac des-cbc-md5
clock_skew = 300

[realms]
SSOFT.LOCAL = {
kdc = 192.168.0.122:88
admin_server = 192.168.0.122:749
default_domain = SSOFT.LOCAL
}

[domain_realm]
.ssoft.local = SSOFT.LOCAL
ssoft.local = SSOFT.LOCAL
[logging]
default = FILE:/var/log/krb5lib.log
kdc = FILE:/var/log/krb5kdc.log
kdc = SYSLOG:INFO AEMON
admin_server = FILE:/var/log/kadmin.log

Прошу помощи, гуглил 2 дня.


kinit -V -k -t /etc/krb5.keytab HTTP/sproxy.ssoft.local@SSOFT.LOCAL

а если так:

kadmin -p <учётка админа>

попадаешь в псевдошелл, в нём даёшь команду

ktadd HTTP/sproxy.ssoft.local@SSOFT.LOCAL
router ★★★★★
()
Последнее исправление: router (всего исправлений: 1)
Ответ на: комментарий от router
kadmin: Database error! Required KADM5 principal missing while initializing kadmin interface
Bain
() автор топика
Ответ на: комментарий от sidor

sproxy.keytab переименовал в krb5.keytab после переноса в /etc

Bain
() автор топика
Ответ на: комментарий от Bain

Разобрался самостоятельно, resolv.conf перезаписывался после каждой перезагрузки мешая разные днс на 1 адрес

Bain
() автор топика
Ответ на: комментарий от Bain

Но радость была недолгой, всё равно выдает kinit: Client not found in Kerberos database while getting initial credentials при любом конфиге кербероса

Bain
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.