Назад | Перейти на главную страницу

Проверка подлинности Kerberos в смешанной среде (Windows и LINUX)

Мне нужно сопоставить имя участника службы для пользователя в Active Directory из среды Linux, где находится мой KDC, с Windows.

Есть ли способ сопоставить пользователя AD из Linux, а не сопоставить его с помощью setSPN в среде Windows?

Решение пробовали:

Настроил Krb5-conf на машине Linux и установил krb5-usr в качестве клиента на машине Linux.

При вводе команды на добавление основного имени для пользователя с правами администратора я получаю эту ошибку:

testuser@linux106:~$ kadmin -p adminuser/admin@TEST.COM -q "addprinc user1/admin@TEST.COM"
Authenticating as principal adminuser/admin@TEST.COM with password.
kadmin: Client not found in Kerberos database while initializing kadmin interface

Пожалуйста, внесите свой вклад, чтобы достичь этого, или сообщите мне, если я неправильно понял.

Клиент не найден в базе данных Kerberos при инициализации интерфейса kadmin означает, что главный adminuser/admin@TEST.COM вы пытаетесь аутентифицироваться, не существует.

Вы можете избежать аутентификации, выполнив kadmin.local на сервере KDC

$ sudo kadmin.local

Затем используйте listprincs, addprinc, дельпринк ... для управления участниками базы данных Kerberos.

Есть ли способ сопоставить пользователя AD из Linux?

Невозможно отобразить пользователя AD из linux, поскольку отображение AD_user <--> AD_principal имеет смысл только на серверах AD. (*)

(*) Обратите внимание, что в базе данных Kerberos нет Kerberos_users, только Kerberos_principals. (Или Kerberos_user = Kerberos_principal, если хотите, в любом случае вы не можете сопоставить участников с пользователями)