Estou tentando unir várias máquinas Linux ao domínio do Active Directory da minha instituição para que elas possam participar da autenticação de domínio, não apenas para logins, mas também para acesso a recursos e serviços de domínio. Eu usei com sucesso o realmd para fazer isso com várias máquinas do CentOS 7, mas eu também tenho algumas máquinas do CentOS 6 ainda em serviço que requerem o mesmo tratamento, e elas estão me dando ajustes.
O CentOS 6 não fornece realmd . Depois de experimentar um pouco com o uso de adcli diretamente, desconfigurando a configuração do Kerberos e coisas do tipo, eu estava motivado a construir meu próprio realmd das fontes freedesktop.org. Houve algumas armadilhas em torno de torná-lo usar ferramentas de gerenciamento de serviço estilo EL6 em vez de systemd, mas isso parece ser classificado. Agora posso executar o mesmo comando realmd no CentOS 6 como no CentOS 7, e ele é concluído com êxito, alegando ter ingressado no domínio. Se isso fosse o fim da história.
Depois que uma máquina Cent6 é associada ao domínio dessa maneira, klist mostra que, de fato, ela possui uma coleção de tíquetes Kerberos em cache que parecem corretos. A autenticação contra o domínio (via pam_sss) está falhando, no entanto, produzindo mensagens deste formulário em / var / log / messages:
May 4 16:12:46 adelie [sssd[ldap_child[3762]]]: Client '[email protected]' not found in Kerberos database
Eu recebo a mesma mensagem se, como root, eu executar o comando
kinit '[email protected]'
ou
kinit -k '[email protected]'
Os tíquetes mencionados acima, apresentados por klist , incluem cinco com esse nome e vários conjuntos de cifras, por isso não tenho certeza porque não foi encontrado.
Eu passei alguns anos na ignorância dos detalhes do Kerberos e suas ferramentas padrão, mas isso me deixa mal preparado para solucionar esse problema. O que devo procurar? Existem ferramentas ou diagnósticos melhores para classificar isso do que klist e kinit ? Ou o anel de latão e minha eterna gratidão a qualquer um que possa diagnosticar corretamente o problema com a pouca informação que eu tenha fornecido.
Tags active-directory kerberos