Моя ситуация такова:
У нас большое количество пользователей Linux, поэтому наши учетные записи находятся на сервере MIT Kerberos. У нас есть несколько пользователей Windows, учетные записи которых находятся в Windows AD. И у нас растет число пользователей, которые иногда используют обе системы.
Мы хотим, чтобы пользователи Linux могли входить в систему на машинах Windows. Поскольку количество пользователей Linux очень велико, перенос учетных записей в AD невозможен.
Итак, я пошел дальше, создал тестового пользователя / принципала, который существует с обеих сторон. Я также создал (двустороннее) доверие между AD и MIT Realm, успешно протестировал его со стороны Linux. I Затем я использовал ksetup, чтобы настроить машины Windows на распознавание чужой области.
ksetup
default realm = ad.domain (NT Domain)
LINUX.REALM:
kdc = kdc.linux.realm
kpasswd = kdc.linux.realm
Realm Flags = 0x0No Realm Flags
Mapping all users (*) to a local account by the same name (*).
Проверить возврат
nltest /TRUSTED_DOMAINS
List of domain trusts:
0: LINUX.REALM (MIT) (Direct Outbound) (Direct Inbound) ( Attr: non-trans )
1: AD ad.domain (NT 5) (Forest Tree Root) (Primary Domain) (Native)
The command completed successfully
Но я не могу войти как test@LINUX.REALM в клиенты Linux или получить билеты со стороны Windows. Журналы Linux Kerberos не показывают запроса TGT.
Я также установил altSecurityIdentities для user ad \ test как kerberos: test@LINUX.REALM
Что мне не хватает?
Делать
ksetup /addhosttorealmmap .dns.domain LINUX.REALM
исправил это.