Назад | Перейти на главную страницу

невозможно пройти аутентификацию с помощью kerberos для клиента ipa с компьютера с Windows 10

У меня есть подключенный к домену компьютер с Windows 10, который пытается аутентифицироваться через kerberos на клиенте ipa (4.4.0) (centos 7.2), я могу аутентифицироваться с помощью пользователя / pass, а затем kinit, но я не могу аутентифицироваться с помощью билетов kerberos на моем компьютере .

ipaclients МОЖЕТ аутентифицироваться через Kerberos на серверах Windows (WinRM).

Макет example.org = доверенный домен с пользователями example.com = корневой домен для систем ad.example.com = дочерний домен для систем ipa.example.com = область для FreeIPA

Аутентификация для всех доменов от users@example.org работает, kerberos для таких вещей, как IIS Windows Authentication работает должным образом, Winrm работает из Windows и Linux с использованием kerberos. Я еще не тестировал apache 401 с помощью keytabs и доверенных пользователей.

debug1: Следующий метод аутентификации: gssapi-with-mic debug1: Прочая ошибка (см. текст), невозможно найти область хоста WIN10HOSTNAME

debug1: Прочая ошибка (см. текст), не удается найти область хоста WIN10HOSTNAME

debug2: мы не отправили пакет, отключите метод

WIN10HOSTNAME = имя хоста

Я пробовал MIT Kerberos, а также попытался установить область по умолчанию в файле krb5.ini (Windows). Я не совсем уверен, как установить область по умолчанию.

Клиент Windows 10 (mingw64)

ssh -V

OpenSSH_7.1p2, OpenSSL 1.0.2h 3 мая 2016 г.

klist

Current LogonId is 0:0x3a258

Cached Tickets: (4)

 1      Client: jevans @ EXAMPLE.ORG
        Server: krbtgt/AD.EXAMPLE.ORG @ EXAMPLE.COM
        KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
        Ticket Flags 0x40a50000 -forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 1/26/2017 8:26:58 (local)
        End Time:   1/26/2017 18:25:47 (local)
        Renew Time: 1/26/2017 18:25:47 (local)
        Session Key Type: RSADSI RC4-HMAC(NT)
        Cache Flags: 0
        Kdc Called: DC01.example.com

 1      Client: jevans @ EXAMPLE.ORG
        Server: krbtgt/EXAMPLE.COM @ EXAMPLE.ORG
        KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
        Ticket Flags 0x40a50000 -forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 1/26/2017 8:26:58 (local)
        End Time:   1/26/2017 18:25:47 (local)
        Renew Time: 1/26/2017 18:25:47 (local)
        Session Key Type: RSADSI RC4-HMAC(NT)
        Cache Flags: 0
        Kdc Called: DC01.example.org

 2      Client: jevans @ EXAMPLE.ORG
        Server: krbtgt/EXAMPLE.ORG @ EXAMPLE.ORG
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40e10000 -forwardable renewable initial pre_authent name_canonicalize
        Start Time: 1/26/2017 8:25:47 (local)
        End Time:   1/26/2017 18:25:47 (local)
        Renew Time: 1/26/2017 18:25:47 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x1 -PRIMARY
        Kdc Called: DC01.example.org

 3      Client: jevans @ EXAMPLE.ORG
        Server: ldap/AD-DC01.AD.EXAMPLE.ORG/AD.EXAMPLE.ORG @ AD.EXAMPLE.ORG
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a50000 -forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Start Time: 1/26/2017 8:26:58 (local)
        End Time:   1/26/2017 18:25:47 (local)
        Renew Time: 1/26/2017 18:25:47 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0
        Kdc Called: AD-DC01.ad.example.com

Конечная точка Linux ktutils, затем read_kt /etc/krb5.keytab, затем list

slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    1 host/linux-server@IPA.EXAMPLE.COM
   2    1 host/linux-server@IPA.EXAMPLE.COM
   3    1 host/linux-server@IPA.EXAMPLE.COM
   4    1 host/linux-server@IPA.EXAMPLE.COM
   5    1 host/linux-server@IPA.EXAMPLE.COM
   6    1 host/linux-server@IPA.EXAMPLE.COM
   7    1 host/linux-server@IPA.EXAMPLE.COM
   8    1 host/linux-server@IPA.EXAMPLE.COM
   9    1 host/linux-server@IPA.EXAMPLE.COM
  10    1 host/linux-server@IPA.EXAMPLE.COM
  11    1 host/linux-server@IPA.EXAMPLE.COM
  12    1 host/linux-server@IPA.EXAMPLE.COM

Получил это, разбив mingw64 для Cygwin.

mingw64 явно для минималистов, и в нем отсутствуют необходимые пакеты Kerberos (среди многих других замечательных пакетов)

Мне удалось заставить cygwin выполнять не только аутентификацию Kerberos, но и Ключи агента SSH