LINUX.ORG.RU

krb5_get_init_creds: Client unknown подскажите пожалуйста по настройке кербероса

 , , , ,


0

2

В общем по порядку:

код
# kinit admin
# kilist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: admin@TRK.LOCAL

  Issued                Expires               Principal
Jan 13 20:27:49 2015  Jan 14 06:27:49 2015  krbtgt/TRK.LOCAL@TRK.LOCAL
Успешно получаем билетик, что говорит о нормальной работе кербероса, далее получаем кейтаб

 msktutil -c -b "CN=COMPUTERS" -s HTTP/firewall.trk.local -h firewall.trk.local -k /etc/HTTP.keytab --computer-name http-proxy --upn HTTP/firewall.trk.local --server dc2.trk.local --verbose

проходит успешно появляется новый комп, проверка кейтаба также показывает что все ровно:

 # ktutil -k /etc/HTTP.keytab list
/etc/HTTP.keytab:

Vno  Type              Principal                          Aliases
 10  des-cbc-crc       http-proxy$@TRK.LOCAL
 10  des-cbc-md5       http-proxy$@TRK.LOCAL
 10  arcfour-hmac-md5  http-proxy$@TRK.LOCAL
 10  des-cbc-crc       host/firewall.trk.local@TRK.LOCAL
 10  des-cbc-md5       host/firewall.trk.local@TRK.LOCAL
 10  arcfour-hmac-md5  host/firewall.trk.local@TRK.LOCAL
 10  des-cbc-crc       HTTP/firewall.trk.local@TRK.LOCAL
 10  des-cbc-md5       HTTP/firewall.trk.local@TRK.LOCAL
 10  arcfour-hmac-md5  HTTP/firewall.trk.local@TRK.LOCAL

ок, теперь удаляем билет и пробуем kinit с этим табом

# kdestroy
# kinit -kt /etc/HTTP.keytab host/firewall.trk.local@TRK.LOCAL
kinit: krb5_get_init_creds: Client (host/firewall.trk.local@TRK.LOCAL) unknown

вопрос, почему домен не всасывает свежесгенеренный таб? Причем пробовал брать кейтаб из самбы, и через ktpass - то же самое. Керберос работает, время синхронизировано, fqdn dns записи все есть и работают, уже не понимаю в чем проблема, КД Windows Server 2003 (поднимал эту же связку на виртуалке WS 2008 - krb - FreeBSD10.1 - все завелось с пол-пинка) на продакшене же я уже незнаю об какую стену биться головой, прошу помощи.



Последнее исправление: EasyJet (всего исправлений: 2)
Ответ на: комментарий от GreyFog

да без разницы - пробовал и так и так, на все ругается «Client unknown», несмотря на то что машина (в COMPUTERS), и запись в днс имеются.

# kinit -kt /etc/HTTP.keytab HTTP/firewall.trk.local@TRK.LOCAL
kinit: krb5_get_init_creds: Client (HTTP/firewall.trk.local@TRK.LOCAL) unknown

EasyJet
() автор топика
Ответ на: комментарий от EasyJet

Пользователь firewall у тебя в AD заведен? Я просто не сталкивался с утилитой msktutil, keytab генерировал прямо на сервере AD, перед этим создал пользователя там же.

GreyFog
()
Ответ на: комментарий от GreyFog

Проблема решена всем спасибо!

Тачку в домене создавать не нужно. Создать нужно только днс прямой и обратный для нового сервера.

# msktutil -c -b "CN=COMPUTERS" -s HTTP/firewall.trk.local -k /etc/HTTP.keytab --computer-name FIREWALL-HTTP --upn HTTP/firewall.trk.local --server dc2.trk.local --enctypes 28 --verbose

должно выполняться без каких либо ошибок вообще, в домене должна появиться машина FIREWALL-HTTP если есть делаем ей Reset computer и полученный таб делаем так.

# kinit -V -k -t /etc/HTTP.keytab HTTP/firewall.trk.local@TRK.LOCAL
Using default cache: /tmp/krb5cc_0
Using principal: HTTP/firewall.trk.local@TRK.LOCAL
Using keytab: /etc/HTTP.keytab
Authenticated to Kerberos v5
# kdestroy

и на всякий мой krb5.conf

 # cat /etc/krb5.conf
[libdefaults]
        default_realm = TRK.LOCAL
        ticket_lifetime = 24h
        default_keytab_name = /etc/HTTP.keytab

# for Windows 2008 with AES
    default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
    default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
    permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5

[realms]
        TRK.LOCAL = {
               admin_server = dc2.trk.local
               default_domain = trk.local
               kdc = dc2.trk.local
        }

[domain_realm]
        .trk.local = TRK.LOCAL
        trk.local = TRK.LOCAL
EasyJet
() автор топика
Ответ на: комментарий от EasyJet

запускал схему под FreeBSD 10.1-STABLE, krb5-1.13.

EasyJet
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.