Eu tenho o servidor CentOS 6 que foi adicionado ao Active Directory usando o Samba e net ads join -k .
Tem assim um keytab assim:
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
1 host/[email protected]
1 host/[email protected]
1 host/[email protected]
1 host/[email protected]
1 host/[email protected]
1 host/[email protected]
1 host/[email protected]
1 host/[email protected]
1 host/[email protected]
1 host/[email protected]
1 [email protected]
1 [email protected]
1 [email protected]
1 [email protected]
1 [email protected]
Usando o OpenSSH e o pam_krb5, também posso autenticar com o GSSAPI quando a pesquisa inversa de DNS é myhost.ad.example.com. Até aí tudo bem.
Agora, a questão é que, por várias razões, eu gostaria que a pesquisa inversa de DNS para o servidor fosse myhost.example.org. Isso é possível?
"host/[email protected]" deve ser um princípio Kerberos perfeitamente válido, mas se eu tentar adicionar myhost.example.org como um nome principal de serviço no Active Directory, net ads join -k falhará com "falha ao definir spn da máquina: Violação de restrição".
Se eu tentar adicionar registros PTR para ambos myhost.ad.example.com e myhost.example.org, obtenho o comportamento interessante de fazer login com GSSAPI em qualquer outra tentativa.
O link tem várias sugestões. Eu tentei adicionar "rdns = false" (krb5.conf) no cliente e "ignore_acceptor_hostname = true" (krb5.conf) e "GSSAPIStrictAcceptorCheck no" (sshd_config) no servidor. Não parece fazer nenhuma diferença.Este é um problema de mapeamento de território. Seus hosts provavelmente estão sendo mapeados para nenhum reino.
Use /etc/krb5.conf
[domain_realm]
.example.com = AD.EXAMPLE.COM
ou, de preferência, o equivalente DNS
_kerberos.example.com IN TXT AD.EXAMPLE.COM