Configure um cliente Windows 10 para um KDC Linux Realm

5

Eu configurei um servidor KDC e criei um Realm EXAMPLE.COM . Aqui está o meu arquivo krb5.conf:

[libdefaults]
  renew_lifetime = 7d
  forwardable = true
  default_realm = EXAMPLE.COM
  ticket_lifetime = 24h
  dns_lookup_realm = false
  dns_lookup_kdc = false
  default_ccache_name = /tmp/krb5cc_%{uid}
  #default_tgs_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5
  #default_tkt_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5

[logging]
  default = FILE:/var/log/krb5kdc.log
  admin_server = FILE:/var/log/kadmind.log
  kdc = FILE:/var/log/krb5kdc.log

[realms]
  EXAMPLE.COM = {
    admin_server = my.linux-server.de
    kdc = my.linux-server.de
  }

Também adicionei um usuário testuser com a senha abc via kadmin.local :

kadmin.local:  addprinc [email protected]

Eu posso logar com sucesso no meu Ubuntu VM:

[root@ubuntu-vm ~]# kinit testuser
Password for [email protected]:

Então klist mostra:

[root@ubuntu-vm ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: [email protected]

Valid starting       Expires              Service principal
01.12.2016 14:58:40  02.12.2016 14:58:40  krbtgt/[email protected]

e posso abrir minha interface do usuário Kererized Hadoop.

=============================================== =========================

Problema faz meu cliente Windows. Eu configurei copiando o arquivo krb5.conf da máquina KDC para o cliente Windows e renomei para kdc5.ini .

Também defino o domínio do computador:

C:> Ksetup /setdomain EXAMPLE.COM

Após a reinicialização, tentei me conectar ao meu KDC Realm via

C:> kinit [email protected]
Password for [email protected]:
<empty row>

Tudo parecia bem até agora, mas quando eu chamo klist , recebo apenas o seguinte resultado:

Aktuelle Anmelde-ID ist 0:0x7eca34

Zwischengespeicherte Tickets: (0)

Em inglês, algo como ... cached tickets: (0)

Eu também não consigo abrir meu site no cliente Windows, então acho que há um problema de interoperabilidade, pois não tive nenhum problema de conexão através do meu cliente Ubuntu.

Meu navegador (Firefox) deve ser configurado corretamente em ambas as máquinas (Ubuntu e Windows), eu configurei a propriedade network.negotiate-auth.trusted-uris para http://my.linux-server.de (desde que eu fiz isso, o cliente Ubuntu pode abrir o site). Curl também funciona para o Ubuntu, mas não para o Windows.

ATUALIZAÇÃO: Também tentei um segundo cliente Windows sem sucesso ...

    
por D. Müller 01.12.2016 / 15:31

1 resposta

4

Finalmente consegui trabalhar! Eu fiz os seguintes passos em uma máquina Windows 7 (64 bits), também deve funcionar no Windows 10:

  1. Instale o MIT Kerberos de aqui . Eu peguei a versão atual do Windows que é MIT Kerberos for Windows 4.1 e instalei com configurações padrão.
  2. Abra o arquivo C:\ProgramData\MIT\Kerberos\krb5.ini e insira as seguintes configurações:

Novo conteúdo do arquivo:

[libdefaults]
  default_realm = EXAMPLE.COM

[realms]
  EXAMPLE.COM = {
    admin_server = your.admin.server.de
    kdc = your.kdc.server.de
  }
  1. Faça o download e instale o navegador Firefox real
  2. Digite about:config na barra de endereço do navegador Firefox e defina os seguintes parâmetros:

Parâmetro = pares de valor:

network.negotiate-auth.delegation-uris = http://your.kdc.server.de

network.negotiate-auth.trusted-uris = http://your.kdc.server.de

network.auth.use-sspi = false
  1. Reinicie seu PC
  2. Use o MIT Kerberos Ticket Manager para obter um novo ticket para seu usuário:

  3. Vocêdeveverseuingressonogerente:

    8.AgoravocêdeveconseguirabrirapáginadaWebqueprecisadeautenticação:

por 10.01.2017 / 12:19