Usando o MIT Kerberos como domínio de conta para o Windows AD

1

Minha situação é a seguinte:

Temos um grande número de usuários de Linux e, portanto, nossas contas estão em um servidor Kerberos do MIT. Temos alguns usuários do Windows cujas contas estão no Windows AD. E temos um número crescente de usuários que às vezes usam os dois sistemas.

Queremos que os usuários do Linux consigam fazer login nas máquinas Windows. Como o número de usuários do Linux é muito grande, a migração das contas para o AD não é uma opção.

Então eu fui em frente, criei um usuário de teste / principal que existe em ambos os lados. Eu também criei uma confiança (bidirecional) entre AD e MIT Realm, e testei com sucesso do lado do Linux. Então eu usei o ksetup para configurar as máquinas Windows para reconhecer o reino estrangeiro

ksetup
default realm = ad.domain (NT Domain)
LINUX.REALM:
    kdc = kdc.linux.realm
    kpasswd = kdc.linux.realm
    Realm Flags = 0x0No Realm Flags
Mapping all users (*) to a local account by the same name (*).

Verifique os retornos

nltest /TRUSTED_DOMAINS
List of domain trusts:
0: LINUX.REALM (MIT) (Direct Outbound) (Direct Inbound) ( Attr: non-trans )
1: AD ad.domain (NT 5) (Forest Tree Root) (Primary Domain) (Native)
The command completed successfully

Mas não consigo logar como [email protected] nos clientes linux nem obter tickets do lado do Windows. Logs Linux Kerberos não mostram nenhuma solicitação TGT.

Também defini altSecurityIdentities para o usuário ad \ test como kerberos: [email protected]

O que estou perdendo?

    
por Kestrel 18.08.2017 / 18:43

1 resposta

0

Fazendo

ksetup /addhosttorealmmap .dns.domain LINUX.REALM

consertou isso.

    
por 29.08.2017 / 17:07