LINUX.ORG.RU

История изменений

Исправление router, (текущая версия) :

Работал с kerberos только с позиции админа, код примеров не смотрел

  1. Код сервера должен запускаться на машине сервера контроллера домена

Нет. У сервера в keytab’е должны быть ключи principal, выписанные на имя того хоста, где он работает. Например

HOST/$fqdn@$REALM
NFS/$fqdn@$REALM
HTTP/$fqdn@$REALM

$fqdn - hostname с доменом

$REALM - realm kerberos

Приставка, как ты уже понял, соответствует назначению. Т.е. тому, что реально будет использовать твой сервер

На стороне клиента аналогично. У него должен быть keytab с ключом principal’а, от имени которого он будет подключаться к серверу

Если клиент и/или сервер используют GSSD, то keytab’ы лично им давать не нужно, добавь в общесистемный /etc/krb5.keytab и перезапусти gssd

  1. код клиентской части может запускаться на любой машине клиенте домена правильно?

Да, ели там есть keytab с соответствующим ключом principal

  1. я слышал такую вещь что свой(взятый из примера) тестовый сервер и клиент kerberos, я должен где то в домене как то прописать, чтобы аутентификация проходила и тд

Для стандартных нет. Нестандартные не использовал. Записи нужны для самого сервера kerberos, но не для твоего сервера, использующего kerberos.

Скорее всего, ты путаешь с каким-то service discovery. В любом случае, код у тебя, как-нибудь разребершься

Исправление router, :

Работал с kerberos только с позиции админа, код примеров не смотрел

  1. Код сервера должен запускаться на машине сервера контроллера домена

Нет. У сервера в keytab’е должны быть ключи principal, выписанные на имя того хоста, где он работает. Например

HOST/$fqdn@$REALM
NFS/$fqdn@$REALM
HTTP/$fqdn@$REALM

$fqdn - hostname с доменом

$REALM - realm kerberos

Приставка, как ты уже понял, соответствует назначению. Т.е. тому, что реально будет использовать твой сервер

На стороне клиента аналогично. У него должен быть keytab с ключом principal’а, от имени которого он будет подключаться к серверу

Если клиент и/или сервер используют GSSD, то keytab’ы лично им давать не нужно, добавь в общесистемный /etc/krb5.keytab и перезапусти gssd

  1. код клиентской части может запускаться на любой машине клиенте домена правильно?

Да, ели там есть keytab с соответствующим ключом principal

  1. я слышал такую вещь что свой(взятый из примера) тестовый сервер и клиент kerberos, я должен где то в домене как то прописать, чтобы аутентификация проходила и тд

Для стандартных нет. Нестандартные не использовал. Записи нужны для самого сервера kerberos, но не для твоего сервера, использующего kerberos.

Скорее всего, ты путаешь с каким-то service discovery. В любом случае, код у тебя как-нибудь разребершься

Исправление router, :

Работал с kerberos только с позиции админа, код примеров не смотрел

  1. Код сервера должен запускаться на машине сервера контроллера домена

Нет. У сервера в keytab’е должны быть ключи principal, выписанные на имя того хоста, где он работает. Например

HOST/$fqdn@$REALM
NFS/$fqdn@$REALM
HTTP/$fqdn@$REALM

$fqdn - hostname с доменом

$REALM - realm kerberos

Приставка, как ты уже понял, соответствует назначению. Т.е. тому, что реально будет использовать твой сервер

На стороне клиента аналогично. У него должен быть keytab с ключом principal’а, от имени которого он будет подключаться к серверу

Если клиент и/или сервер используют GSSD, то keytab’ы лично им давать не нужно, добавь в общесистемный /etc/krb5.keytab и перезапусти gssd

  1. код клиентской части может запускаться на любой машине клиенте домена правильно?

Да, ели там есть keytab с соответствующим ключом principal

  1. я слышал такую вещь что свой(взятый из примера) тестовый сервер и клиент kerberos, я должен где то в домене как то прописать, чтобы аутентификация проходила и тд

Для стандартных нет. Нестандартные не использовал. Записи нужны для самого сервера kerberos, но не для твоего сервера, использующего kerberos.

Скорее всего, ты путаешь с каким-то service discovery. В любом случае, код у тебя как-нибудь разребершься

Исправление router, :

Работал с kerberos только с позиции админа, код примеров не смотрел

  1. Код сервера должен запускаться на машине сервера контроллера домена

Нет. У сервера в keytab’е должны быть ключи principal, выписанные на имя того хоста, где он работает. Например

HOST/$fqdn@$REALM
NFS/$fqdn@$REALM
HTTP/$fqdn@REALM

$fqdn - hostname с доменом

$REALM - realm kerberos

Приставка, как ты уже понял, соответствует назначению. Т.е. тому, что реально будет использовать твой сервер

На стороне клиента аналогично. У него должен быть keytab с ключом principal’а, от имени которого он будет подключаться к серверу

Если клиент и/или сервер используют GSSD, то keytab’ы лично им давать не нужно, добавь в общесистемный /etc/krb5.keytab и перезапусти gssd

  1. код клиентской части может запускаться на любой машине клиенте домена правильно?

Да, ели там есть keytab с соответствующим ключом principal

  1. я слышал такую вещь что свой(взятый из примера) тестовый сервер и клиент kerberos, я должен где то в домене как то прописать, чтобы аутентификация проходила и тд

Для стандартных нет. Нестандартные не использовал. Записи нужны для самого сервера kerberos, но не для твоего сервера, использующего kerberos.

Скорее всего, ты путаешь с каким-то service discovery. В любом случае, код у тебя как-нибудь разребершься

Исходная версия router, :

Работал с kerberos только с позиции админа, код примеров не смотрел

  1. Код сервера должен запускаться на машине сервера контроллера домена

Нет. У сервера в keytab’е должны быть ключи principal, выписанные на имя того хоста, где он работает. Например

$fqdn - hostname с доменом

$REALM - realm kerberos

Приставка, как ты уже понял, соответствует назначению. Т.е. тому, что реально будет использовать твой сервер

На стороне клиента аналогично. У него должен быть keytab с ключом principal’а, от имени которого он будет подключаться к серверу

Если клиент и/или сервер используют GSSD, то keytab’ы лично им давать не нужно, добавь в общесистемный /etc/krb5.keytab и перезапусти gssd

  1. код клиентской части может запускаться на любой машине клиенте домена правильно?

Да, ели там есть keytab с соответствующим ключом principal

  1. я слышал такую вещь что свой(взятый из примера) тестовый сервер и клиент kerberos, я должен где то в домене как то прописать, чтобы аутентификация проходила и тд

Для стандартных нет. Нестандартные не использовал. Записи нужны для самого сервера kerberos, но не для твоего сервера, использующего kerberos.

Скорее всего, ты путаешь с каким-то service discovery. В любом случае, код у тебя как-нибудь разребершься