LINUX.ORG.RU
ФорумAdmin

Как проверить keytab-файл?

 , ,


0

1

Развертываю Squid+Kerberos.

Сгенерить кейтаб ktpass и msktutil не получилось, генерил его самбой.

Вот содержимое кейтаба

Keytab name: FILE:/etc/krb5.keytab
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   3 12.08.2013 14:47:14 host/debianmail.rus.local@RUS.LOCAL
   3 12.08.2013 14:47:14 host/debianmail.rus.local@RUS.LOCAL
   3 12.08.2013 14:47:14 host/debianmail.rus.local@RUS.LOCAL
   3 12.08.2013 14:47:14 host/DEBIANMAIL@RUS.LOCAL
   3 12.08.2013 14:47:14 host/DEBIANMAIL@RUS.LOCAL
   3 12.08.2013 14:47:14 host/DEBIANMAIL@RUS.LOCAL
   3 12.08.2013 14:47:14 DEBIANMAIL$@RUS.LOCAL
   3 12.08.2013 14:47:14 DEBIANMAIL$@RUS.LOCAL
   3 12.08.2013 14:47:14 DEBIANMAIL$@RUS.LOCAL
   3 12.08.2013 14:47:20 HTTP/debianmail.rus.local@RUS.LOCAL
   3 12.08.2013 14:47:20 HTTP/debianmail.rus.local@RUS.LOCAL
   3 12.08.2013 14:47:20 HTTP/debianmail.rus.local@RUS.LOCAL
   3 12.08.2013 14:47:20 HTTP/DEBIANMAIL@RUS.LOCAL
   3 12.08.2013 14:47:20 HTTP/DEBIANMAIL@RUS.LOCAL
   3 12.08.2013 14:47:20 HTTP/DEBIANMAIL@RUS.LOCAL

Похоже на правду.

как мне проверить, что этот кейтаб действительно валиден и аутентификация через него проходит нормально?

с проблемой проверки/корректной генерации кейтаба бъемся с товарищем третий день, видимо, мы не понимаем какой-то фундаментальной вещи в аутентификации Kerberos (я уверен, очень простой), которая должна решить проблему.



Последнее исправление: nebraska_edu (всего исправлений: 1)
Чем пробросить порт через UPnP?
Дебильный вопрос про авторизацию по паролю или сертификату.

Причем самое смешное, что ты не указал самого нужного принципала: http/debianmail.rus.local (все буквы маленькие)

Кроме того, для валидной работы kerberos нужна нормальная реверсная зона.

Ну и напоследок, рекомендуется посмотреть в /var/log/krb5kdc.log, там пишется какие тикеты кому розданы, кому нет и по какой причине.

no-dashi ★★★★★
()

И ещё - многие сервисы, несмотря на внутреннюю (иискреннюю) убежденность их создателей в обратном, не понимают наличия множества принципалов в обном файле кейтаба.

no-dashi ★★★★★
()

как мне проверить, что этот кейтаб действительно валиден и аутентификация через него проходит нормально?

Я в своё время юзал подобную команду:

kinit "HTTP/linux-vm.example.com@EXAMPLE.COM" -V -k -t /etc/apache/http.keytab
drake
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Чем пробросить порт через UPnP?
Admin
Дебильный вопрос про авторизацию по паролю или сертификату.