Temos tido problemas com os usuários que fazem login em nossas máquinas Linux e a parte de nome de usuário de seu principal Kerberos está em letras maiúsculas. Isso é um desastre para as políticas de segurança em nosso cluster do Hadoop que espera nomes de usuário em letras minúsculas.
O contexto é que temos máquinas CentOS 7.3 que estão entrando em contato com um Windows AD.
Eu encontrei as circunstâncias em que isso acontece. Eu ssh em uma das máquinas Linux. Eu não estou usando minha chave SSH, então tenho que digitar minha senha. Quando faço isso, recebo o nome de usuário do principal do Kerberos em maiúsculas:
[root@machine1 ~]# ssh jasbre@machine2
jasbre@machine2's password:
Last login: Mon Sep 18 12:06:13 2017 from machine1
[jasbre@machine ~]$ klist
Ticket cache: FILE:/tmp/krb5cc_1379946670
Default principal: [email protected]
Valid starting Expires Service principal
09/18/2017 12:13:21 09/18/2017 22:13:21 krbtgt/[email protected]
renew until 09/25/2017 12:13:21
Agora eu faço o login com a minha chave SSH e não tenho um tíquete Kerberos quando efetuo login (já que não digitei uma senha). Eu então faço um kinit e recebo o nome de usuário em minúsculas no principal:
[jasbre@machine2 ~]$ kinit
Password for [email protected]:
[jasbre@machine2 ~]$ klist
Ticket cache: FILE:/tmp/krb5cc_1379946670
Default principal: [email protected]
Valid starting Expires Service principal
09/18/2017 12:14:13 09/18/2017 22:14:13 krbtgt/[email protected]
renew until 09/25/2017 12:14:07
O que está acontecendo aqui? Eu suponho que é apenas algo que estou recebendo de volta do controlador de domínio. Posso em algum lugar orientar isso com meu arquivo sssd.conf na máquina Linux? Eu já tenho case_sensitive = false em sssd.conf.