Я работаю в доменной среде, обслуживаемой Active Directory с хоста Windows 2008. Я являюсь обычным «пользователем домена» без особых привилегий и не могу их получить.
При попытке настроить мою собственную систему Linux для входа в систему через ssh с помощью kerberos я столкнулся с загвоздкой: я не могу добавить принципала в форме: host / @ DOMAIN
Это подводит меня к вопросу: есть ли способ обойти это, чтобы получить функциональность единого входа (SSO)?
Если нет, есть ли другой механизм для выполнения единого входа? (Я предполагаю, что для этого потребуется настроить мой собственный внутренний KDC).
Вам необходимо присоединить Linux-машину к AD, чтобы были созданы учетная запись машины и связанный ключ. net ads join из пакета Samba - простой способ для этого. Я думаю, что это (единственная) часть, в которой вам нужны права администратора AD. Затем вы можете заполнить keytab именами участников-служб; для добавления записи SPN в учетную запись компьютера требуется только привилегия «Проверенная запись в SPN».
Существует способ сопоставить SPN (и записи keytab), сопоставленные с произвольными учетными записями домена, используя ktpass.exe утилита, но для этого обязательно требуется доступ к контроллеру домена с правами администратора.
Без этого вы не сможете использовать AD в качестве области Kerberos. Существуют и другие варианты, такие как - как вы предложили - настройка параллельной среды Kerberos с собственным KDC, что дополнительно потребует настройки каждой службы, которую вы хотите поддерживать в этой области.
Kerberos - не единственный вариант единого входа. Встроенное хранилище с шифрованием ключей и паролей, например KWallet или Брелок Apple может обеспечить даже лучшее ощущение единого входа при нулевой настройке.
Надеюсь это поможет.