Uma máquina do Windows pode autenticar contra o Samba com o Kerberos quando os usuários são armazenados no AD?

1

Eu entendo que o título é provavelmente menos claro do que deveria, mas não consegui pensar em nada melhor.

Temos dois domínios, vamos chamá-los de example.com e subnet.example.com . O primeiro é gerenciado por um servidor do Active Directory e abriga alguns servidores, bem como todos os clientes do Windows. Este último abriga várias máquinas Unix (principalmente Solaris). Existe uma fidedignidade unidireccional do domínio SUBNET.EXAMPLE.COM para EXAMPLE.COM .

Com esta configuração, as coisas habituais funcionam bem, como login ssh, NFSv4, etc.

Agora, o que eu quero fazer é rodar servidores Samba nas máquinas Unix em subnet.example.com . Os usuários do Windows devem poder acessar os arquivos nesses servidores.

Eu configurei a autenticação do Kerberos no Samba e ele funciona perfeitamente em qualquer cliente Linux. Eu posso acessar as máquinas via smbclient quando eu tenho um Kerberos TGT, e ele pára de funcionar se eu derrubá-lo. O mapeamento de usuários funciona exatamente como esperado. As máquinas têm cifs/hostname entradas no servidor MIT Kerberos.

No entanto, os clientes Windows não conseguem fazer o mesmo. Ao observar os logs do Samba, vejo que o servidor Samba tenta falar com o servidor do AD, mas não tem permissão para fazer isso, pois o servidor do Samba não ingressou no domínio do AD.

Então, eu ouço você perguntar: "Por que você não entra no domínio do AD?" . A resposta é que não sou capaz de fazer isso, pois os sistemas na sub-rede são sistemas de teste que estão sendo instalados e reinstalados, muitas vezes, muitas vezes por dia, e não queremos que um administrador do AD configure isso (e os remova) também) toda vez que um sistema de teste é instalado ou colocado off-line.

Além disso, tudo funciona perfeitamente para os clientes Linux, o que me leva a acreditar que deveria ser possível fazer isso funcionar de alguma forma.

Então, minha pergunta é: isso é possível? Existe alguma limitação no Windows que os impede de serem clientes em um território Kerberos normal? Em caso afirmativo, qual seria a melhor solução para esse problema?

    
por Elias Mårtenson 31.10.2012 / 14:38

1 resposta

1

Eu resolvi o problema. O problema era que o cliente Windows não sabia que subnet.example.com pertence a um domínio diferente. A solução é informar o cliente disso. Isso pode ser feito com os dois comandos a seguir que, acredito, são similares a adicionar informações de domínio em krb5.conf em um sistema Unix:

ksetup /addkdc SUBNET.EXAMPLE.COM hostname.of.kerberos.server
ksetup /addhosttorealmmap .subnet.example.com SUBNET.EXAMPLE.COM

Depois que fiz isso, a autenticação do cliente funcionou conforme o esperado.

    
por 05.11.2012 / 02:54