Назад | Перейти на главную страницу

GSSAPI в Linux, когда обратный поиск DNS не соответствует суффиксу AD DNS

У меня есть сервер CentOS 6, который был присоединен к Active Directory с помощью Samba и net ads join -k.

Таким образом, у него есть такая клавиша:

Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   1 host/myhost.ad.example.com@AD.EXAMPLE.COM
   1 host/myhost.ad.example.com@AD.EXAMPLE.COM
   1 host/myhost.ad.example.com@AD.EXAMPLE.COM
   1 host/myhost.ad.example.com@AD.EXAMPLE.COM
   1 host/myhost.ad.example.com@AD.EXAMPLE.COM
   1 host/MYHOST@AD.EXAMPLE.COM
   1 host/MYHOST@AD.EXAMPLE.COM
   1 host/MYHOST@AD.EXAMPLE.COM
   1 host/MYHOST@AD.EXAMPLE.COM
   1 host/MYHOST@AD.EXAMPLE.COM
   1 MYHOST$@AD.EXAMPLE.COM
   1 MYHOST$@AD.EXAMPLE.COM
   1 MYHOST$@AD.EXAMPLE.COM
   1 MYHOST$@AD.EXAMPLE.COM
   1 MYHOST$@AD.EXAMPLE.COM

Используя OpenSSH и pam_krb5, я также могу аутентифицироваться с помощью GSSAPI, когда обратный поиск DNS - это myhost.ad.example.com. Все идет нормально.

Дело в том, что по разным причинам я хотел бы, чтобы обратный поиск DNS для сервера был myhost.example.org. Это вообще возможно?

"host/myhost.example.org@AD.EXAMPLE.COM" должен быть совершенно допустимым принципалом Kerberos, но если я попытаюсь добавить myhost.example.org в качестве имени принципала службы в Active Directory, net ads join -k сбой с "не удалось установить spn машины: нарушение ограничения".

Если я попытаюсь добавить записи PTR для обе myhost.ad.example.com и myhost.example.org Я получаю интересное поведение: я могу войти в систему с помощью GSSAPI при каждой второй попытке.

http://web.mit.edu/kerberos/krb5-1.13/doc/admin/princ_dns.html есть ряд предложений. Я пробовал добавить «rdns = false» (krb5.conf) на клиенте и «ignore_acceptor_hostname = true» (krb5.conf) и «GSSAPIStrictAcceptorCheck no» (sshd_config) на сервере. Похоже, что это вообще не имеет значения.

Это проблема отображения области. Скорее всего, ваши хосты вообще не привязаны к области.

Используйте либо /etc/krb5.conf

[domain_realm]
.example.com = AD.EXAMPLE.COM

или предпочтительно эквивалент DNS

_kerberos.example.com IN TXT AD.EXAMPLE.COM