В общем по порядку:
код
# kinit admin
# kilist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: admin@TRK.LOCAL
Issued Expires Principal
Jan 13 20:27:49 2015 Jan 14 06:27:49 2015 krbtgt/TRK.LOCAL@TRK.LOCAL
msktutil -c -b "CN=COMPUTERS" -s HTTP/firewall.trk.local -h firewall.trk.local -k /etc/HTTP.keytab --computer-name http-proxy --upn HTTP/firewall.trk.local --server dc2.trk.local --verbose
проходит успешно появляется новый комп, проверка кейтаба также показывает что все ровно:
# ktutil -k /etc/HTTP.keytab list
/etc/HTTP.keytab:
Vno Type Principal Aliases
10 des-cbc-crc http-proxy$@TRK.LOCAL
10 des-cbc-md5 http-proxy$@TRK.LOCAL
10 arcfour-hmac-md5 http-proxy$@TRK.LOCAL
10 des-cbc-crc host/firewall.trk.local@TRK.LOCAL
10 des-cbc-md5 host/firewall.trk.local@TRK.LOCAL
10 arcfour-hmac-md5 host/firewall.trk.local@TRK.LOCAL
10 des-cbc-crc HTTP/firewall.trk.local@TRK.LOCAL
10 des-cbc-md5 HTTP/firewall.trk.local@TRK.LOCAL
10 arcfour-hmac-md5 HTTP/firewall.trk.local@TRK.LOCAL
ок, теперь удаляем билет и пробуем kinit с этим табом
# kdestroy
# kinit -kt /etc/HTTP.keytab host/firewall.trk.local@TRK.LOCAL
kinit: krb5_get_init_creds: Client (host/firewall.trk.local@TRK.LOCAL) unknown
вопрос, почему домен не всасывает свежесгенеренный таб? Причем пробовал брать кейтаб из самбы, и через ktpass - то же самое. Керберос работает, время синхронизировано, fqdn dns записи все есть и работают, уже не понимаю в чем проблема, КД Windows Server 2003 (поднимал эту же связку на виртуалке WS 2008 - krb - FreeBSD10.1 - все завелось с пол-пинка) на продакшене же я уже незнаю об какую стену биться головой, прошу помощи.
