У меня есть среда в Active Directory, которая состоит из корневого и дочернего домена, назовем их my.root.domain.com и root.domain.com
У меня есть сервер RHEL7, который я создал, и у него нет проблем с аутентификацией в домене my.root.domain.com. Однако я не могу пройти аутентификацию с использованием учетной записи в домене «root.domain.com». Я могу искать учетные записи по идентификатору в обоих доменах:
id -a user1@my.root.domain.com
и
id -a user2@root.domain.com
оба показывают мои группы AD. Как пользователь root я могу даже «su -» любому пользователю в любом домене (не требует аутентификации). Проблема возникает при аутентификации. Попытка пройти аутентификацию на user2@root.comain.com не удалась.
в smb.conf у меня есть:
...
workgroup = MY
realm = MY.ROOT.DOMAIN.COM
security = ads
...
в /etc/krb5.conf у меня есть:
[libdefaults]
dns_lookup_realm = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
proxiable = true
rdns = false
default_ccache_name = KEYRING:persistent:%{uid}
default_realm = MY.ROOT.DOMAIN.COM
dns_lookup_kdc = true
[realms]
MY.ROOT.DOMAIN.COM = {
}
ROOT.DOMAIN.COM = {
}
[domain_realm]
my.root.domain.com = MY.ROOT.DOMAIN.COM
.my.root.domain.com = MY.ROOT.DOMAIN.COM
root.domain.com = ROOT.DOMAIN.COM
.root.domain.com = ROOT.DOMAIN.COM
Трассировка пакета действительно показывает, что при попытке аутентификации как user2@root.domain.com он отправляет KRB-запрос:
CNameString: ROOT.DOMAIN.COMuser2
realm: MY.ROOT.DOMIAN.COM
Я знаю, что я деревенский идиот, когда дело касается рекламы, но надеюсь, что у кого-то есть хорошее предложение. Я почти уверен, что моя конфигурация krb не совсем такая, какой должна быть.
Есть ли у кого-нибудь предложения по использованию учетных записей из домена "root.domain.com" для аутентификации?
В разделе [области] в /etc/krb5.conf вы должны объявить хотя бы один KDC для каждой области:
[realms]
MY.ROOT.DOMAIN.COM = {
kdc = <FQDN_KDC_MY.ROOT.DOMAIN.COM>
}
ROOT.DOMAIN.COM = {
kdc = <FQDN_KDC.ROOT.DOMAIN.COM>
}