Eu configurei um servidor kerberos com a seguinte configuração
krb5.conf:
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = DOMAIN.NET
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
DOMAIN.NET= {
kdc = server.priv.domain.net
admin_server = server.priv.domain.net
}
[domain_realm]
.domain.net = DOMAIN.NET
domain.net = DOMAIN.NET
kdc.conf
[kdcdefaults]
kdc_listen = 88
kdc_tcp_listen = 88
[realms]
DOMAIN.NET = {
database_name = /usr/local/var/krb5kdc/principal
acl_file = /usr/local/var/krb5kdc/kadm5.acl
key_stash_file = /usr/local/var/krb5kdc/.k5.DOMAIN.NET
kdc_listen = 88
kdc_tcp_listen = 88
max_life = 10h 0m 0s
max_renewable_life = 7d 0h 0m 0s
Eu pensei que, o kerberos aceita o pedido de autenticação do host, que possui o keytab emitido pelo servidor kerberos. Mas parece-me, ele serve autenticação de todos os lugares, mesmo, não há nenhum host principal e keytab foram criados. Alguém poderia por favor avisar?
Obrigado,
P
Supondo que o principal do seu host tenha sido criado no servidor, é necessário executar ktadd de kadmin shell
ktadd -k /etc/krb5.keytab host/blah.DOMAIN.NET
Saia da kadmin shell e execute klist para verificar se você obteve um tíquete Kerberos.
[1] - link