O sistema Windows 7 não vai falar com o servidor MIT Kerberos

Navegue suas respostas
2

Instalei o MIT Kerberos 1.10 em um servidor Debian e felizmente tenho meus clientes Debian autenticando com ele. Estou tendo alguns problemas para fazer com que minha máquina com Windows 7 faça o mesmo, no entanto.

Eu usei ksetup para configurar a máquina da seguinte forma: 

default realm = EXAMPLE.COM (external)
EXAMPLE.COM:
        (no kdc entries for this realm)
        Realm Flags = 0x5 SendAddress Delegate
Mapping all users (*) to a local account by the same name (*).

Isso também alterou o nome do sistema e as configurações do grupo de trabalho: 

Computer name: lysander
Full computer name: lysander.EXAMPLE.COM
Workgroup EXAMPLE.COM

De acordo com a documentação, se não houver entradas de KDC ou senha para um território, o Windows usará o DNS, portanto, também tenho as seguintes entradas configuradas: 

_kerberos._udp.example.com. 300 SRV 10 100 88 kdc.example.com.
_kerberos-adm._tcp.example.com. 300 SRV 10 100 749 kdc.example.com.

kdc tem um registro A que aponta para o endereço IP do servidor.

Depois de configurar o sistema Windows, reiniciei-o e tentei efetuar login, observando que a tela de login oferecia login no domínio EXAMPLE . No entanto, quando tento efetuar login como o usuário local sam , que deve ser mapeado para [email protected] , após uma breve pausa, sou informado de que não há servidores de logon disponíveis para atender à solicitação de logon. Não consigo ver nada de relevante no log de eventos do Windows e, depois de examinar o tráfego de rede entre o cliente e o servidor, não consigo nem ver que a máquina do Windows está tentando entrar em contato com o KDC.

Não são todas más notícias, no entanto. O que me dá esperança é que eu posso usar runas para obter um TGT : 

>runas /user:[email protected] cmd
Enter the password for [email protected]:
Attempting to start cmd as user "[email protected]" ...

E na nova janela que aparece: 

>klist

Current LogonId is 0:0x14e6649

Cached Tickets: (1)

#0>     Client: sam @ EXAMPLE.COM
        Server: krbtgt/EXAMPLE.COM @ EXAMPLE.COM
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize
        Start Time: 2/14/2012 11:54:24 (local)
        End Time:   2/14/2012 21:54:24 (local)
        Renew Time: 2/21/2012 11:54:24 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96

Se eu lançar o PuTTY a partir desse prompt de comando, posso ssh nos outros servidores usando o SSPI para autenticar bem!

    
por Sam Morris 14.02.2012 / 13:34

1 resposta

2

Descobri que, se eu digitar o nome de usuário completo [email protected] na tela do Windows, o logon funcionará corretamente; sam ou EXAMPLE\sam não corta a mostarda. Não consigo encontrar nada que confirme que esse é o comportamento esperado, mas é consistente com uma leitura cuidadosa da saída de ksetup : 

Mapping all users (*) to a local account by the same name (*).

, ou seja, se você fizer login como [email protected] , a conta local sam será conectada; isso não significa que você pode efetuar login como sam e fazer o sistema autenticar você com o KDC como [email protected] .

    
por 29.02.2012 / 12:28

Tags

Alterando o certificado VPN do Forefront TMG Sistema de arquivos somente leitura VPS SSH error