У меня проблема с аутентификацией Kerberos с несколькими доменами. Я использую Alfresco 4.2f в Windows Server 2012 R2, и у меня есть доверительные отношения леса (функциональный уровень 2008 r2) между двумя доменами.
Моя кросс-доменная настройка Kerberos похожа на текстовый документ отсюда: https://community.alfresco.com/external-link.jspa?url=https%3A%2F%2Fissues.alfresco.com%2Fjira%2Fbrowse%2FMNT-10368
Проблема в том, что я могу нормально входить в систему с пользователями из моего основного домена, но не с пользователями из моего второго домена.
Я отследил пакеты krb5 с помощью wirehark, и если я попытаюсь войти в систему со второго домена, я получу следующий пакет: "Ошибка KRB5: KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN". В этом пакете я вижу, что пользователь из второго домена пытается аутентифицироваться в области из основного домена.
Проблема точно такая же, как здесь (без ответа): https://community.alfresco.com/thread/176568-kerberos-with-multiple-domains-on-share-40d
Вот мой krb5.ini:
[libdefaults]
default_realm = DOMAIN1.LOC
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 2h
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
[realms]
DOMAIN1.LOC = {
kdc = dc01.domain1.loc:88
admin_server = dc01.domain1.loc:749
default_domain = domain1.loc
}
DOMAIN2.LOC = {
kdc = dc01.domain2.loc:88
admin_server = dc01.domain2.loc:749
default_domain = domain2.loc
}
[domain_realm]
dc01.domain1.loc = DOMAIN1.LOC
.dc01.domain1.loc = DOMAIN1.LOC
dc01.domain2.loc = DOMAIN2.LOC
.dc01.domain2.loc = DOMAIN2.LOC
Вот моя конфигурация подсистемы kerberos:
ntlm.authentication.sso.enabled=true
kerberos.authentication.realm=DOMAIN1.LOC
kerberos.authentication.sso.enabled=true
kerberos.authentication.user.configEntryName=Alfresco
kerberos.authentication.http.configEntryName=AlfrescoHTTP
kerberos.authentication.http.password=HighSecure
kerberos.authentication.authenticateCIFS=false
kerberos.authentication.browser.ticketLogons=true
Надеюсь, кто-нибудь сможет направить меня в правильном направлении.
Спасибо.
Бета