LINUX.ORG.RU
решено ФорумGeneral

Аутентификация оффтопика через MIT Kerberos


0

0

Доброго времени суток. В Admin постить рука не поднимается по причине оффтопичности

Подскажите, из-за чего может возникать проблема с аутентификацией через MIT Kerberos?

Судя по логам сервера, выдача TGT проходит успешно, но Win XP SP2 не позволяет залогиниться ("проверьте имя пользователя и пароль" и т.д.).

Добавлял в домен керберос через ksetup из состава Support tools:

ksetup /setdomain EXAMPLE.ORG
ksetup /addkdc EXAMPLE.ORG server.example.org
ksetup /SetComputerPassword password
ksetup /mapuser winuser@EXAMPLE.ORG winuser

Лог цербера:

Apr 08 18:07:42 server krb5kdc[11598](info): AS_REQ (7 etypes {23 -133 -128 3 1 24 -135}) 192.168.0.6: NEEDED_PREAUTH: winuser@EXAMPLE.ORG for krbtgt/EXAMPLE.ORG@EXAMPLE.ORG, Additional pre-authentication required
Apr 08 18:07:42 server krb5kdc[11598](info): AS_REQ (2 etypes {3 1}) 192.168.0.6: ISSUE: authtime 1207663662, etypes {rep=3 tkt=16 ses=1}, winuser@EXAMPLE.ORG for krbtgt/EXAMPLE.ORG@EXAMPLE.ORG
Apr 08 18:07:42 server krb5kdc[11598](info): TGS_REQ (7 etypes {23 -133 -128 3 1 24 -135}) 192.168.0.6: ISSUE: authtime 1207663662, etypes {rep=1 tkt=16 ses=1}, winuser@EXAMPLE.ORG for host/wintest.example.org@EXAMPLE.ORG

Для примера, успешный логин в Debian:

Apr 08 18:09:14 server krb5kdc[11598](info): AS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.0.3: NEEDED_PREAUTH: router@EXAMPLE.ORG for krbtgt/EXAMPLE.ORG@EXAMPLE.ORG, Additional pre-authentication required
Apr 08 18:09:14 server krb5kdc[11598](info): AS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.0.3: ISSUE: authtime 1207663754, etypes {rep=16 tkt=16 ses=16}, router@EXAMPLE.ORG for krbtgt/EXAMPLE.ORG@EXAMPLE.ORG
Apr 08 18:09:14 server krb5kdc[11598](info): TGS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.0.3: ISSUE: authtime 1207663754, etypes {rep=16 tkt=16 ses=16}, router@EXAMPLE.ORG for host/io.example.org@EXAMPLE.ORG

ЗЫ. example.org в DNS имеется, обратная зона тоже.
ЗЗЫ. Сеть домашняя, никсовая. Винда на ноуте сестры.

★★★★★
Распознавание текста - просьба
mencoder

Через Heimdal Kerberos полёт нормальный. Интересно, в чём причина? Протокол kdc, ЕМНИП, стандартизован.

router ★★★★★
() автор топика
Ответ на: комментарий от temy4

У меня нет домена виндовс :)

А ключи разумеется сгенерировал. Через kadmin.local

При тех же настройках в виндовс пользователи могут проходить аутентификацию через heimdal kerberos. Вот MIT Kerberos почему-то не подходит. А жаль

router ★★★★★
() автор топика
Ответ на: комментарий от router

>Протокол kdc, ЕМНИП, стандартизован.

Microsoft стандарты не указ. Heimdal об этом знает, а MITу microsoft нафиг не нужен, они про вендекопец знали ещё когда билли из универа уходил свою контору организовывать.

dn2010 ★★★★★
()
Ответ на: комментарий от temy4

Т.е. можно сделать аутентификацию через MIT Kerberos с помощью самбы? Вот это уже интересно, спасибо!

router ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Да! Получилось!!

И отлично, MIT Kerberos мне больше нравится чем Heimdal

router ★★★★★
() автор топика
Ответ на: комментарий от router

Да, под самбой можно поднять контроллер домена, помнится чисто из исследовательских соображений поднимал =)

а про керберос (в частности на клиентах) с летней практики ЕМНИП второго курса помню

temy4
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Распознавание текста - просьба
General
mencoder