RHEL 5.8 Kerberos Active Directory do Windows 2003 Server SP2

Navegue suas respostas
3

Estou enlouquecendo aqui tentando depurar um problema.

Então eu preciso conectar este Linux Box a um Domínio AD através do Kerberos.

aqui está o meu krb5.conf: 

[libdefaults]
   default_realm=OURDOMAIN.COM
   dns_lookup_realm=true
   dns_lookup_kdc=true
   ticket_lifetime=24h
   forwardable = true
   proxiable = true

[realms]
   OURDOAMIN.COM = {
       kdc = VSH002.OURDOMAIN.COM:88
       admin_server = VSH002.OURDOMAIN.COM:749
       default_domain = OURDOMAIN.COM
   }   

[domain_realm]
   .ourdomain.com=OURDOMAIN.COM
   ourdomain.com=OURDOMAIN.COM

Agora / etc / hosts: 

 10.1.10.51 VSH002.OURDOMAIN.COM VSH002 vsh002

e resolv.conf: 

domain ourdomain.com
search ourdomain.com
nameserver 10.1.10.51

O comando kinit [email protected] funciona muito bem.

Também klist -ke mostra o princípio correto

kinit -V também se conecta com sucesso.

O problema: Depois de gerar o keytab com o kpass no lado do Active Directory e tentar conectar usando 

 kinit -k

Eu recebo:

Não é possível resolver o endereço de rede do KDC in realm ao obter as credenciais iniciais.

O endereço de rede não pode ser resolvido? Como isso é possível?

Alguém para ajudar?

Obrigado Eugene.

    
por Eugene 27.07.2012 / 15:38

2 respostas

2

Ao usar kinit com um keytab, é necessário fornecer o principle ao qual você deseja se autenticar. Isso é provavelmente porque os keytabs podem conter mais de um princípio. 

[root@dhcp2 ~]# kinit -k
kinit(v5): Cannot resolve network address for KDC in realm  while getting initial credentials
[root@dhcp2 ~]# kinit -k  host/dhcp2.domain.tld
[root@dhcp2 ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: host/[email protected]

Valid starting     Expires            Service principal
07/29/12 19:27:49  07/30/12 07:27:49  krbtgt/[email protected]
        renew until 07/30/12 19:27:49


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
    
por 30.07.2012 / 04:31
0

dns_lookup_kdc = true significa que o kinit irá procurar os registros SRV no DNS.

Você tem os registros SRV no servidor DNS que seu servidor está usando para o domínio / controlador de domínio?

_kerberos.VSH002.OURDOMAIN.COM para o port 88
_ldap.VSH002.OURDOMAIN.COM para a porta 389

link

    
por 27.07.2012 / 16:10

Tags

Utilizando interfaces netsh remotas - não listando (ou eliminando) Existe um sistema de arquivos FUSE assíncrono para replicação?