У меня есть подключенный к домену компьютер с Windows 10, который пытается аутентифицироваться через kerberos на клиенте ipa (4.4.0) (centos 7.2), я могу аутентифицироваться с помощью пользователя / pass, а затем kinit, но я не могу аутентифицироваться с помощью билетов kerberos на моем компьютере .
ipaclients МОЖЕТ аутентифицироваться через Kerberos на серверах Windows (WinRM).
Макет example.org = доверенный домен с пользователями example.com = корневой домен для систем ad.example.com = дочерний домен для систем ipa.example.com = область для FreeIPA
Аутентификация для всех доменов от users@example.org работает, kerberos для таких вещей, как IIS Windows Authentication работает должным образом, Winrm работает из Windows и Linux с использованием kerberos. Я еще не тестировал apache 401 с помощью keytabs и доверенных пользователей.
debug1: Следующий метод аутентификации: gssapi-with-mic debug1: Прочая ошибка (см. текст), невозможно найти область хоста WIN10HOSTNAME
debug1: Прочая ошибка (см. текст), не удается найти область хоста WIN10HOSTNAME
debug2: мы не отправили пакет, отключите метод
WIN10HOSTNAME = имя хоста
Я пробовал MIT Kerberos, а также попытался установить область по умолчанию в файле krb5.ini (Windows). Я не совсем уверен, как установить область по умолчанию.
Клиент Windows 10 (mingw64)
ssh -V
OpenSSH_7.1p2, OpenSSL 1.0.2h 3 мая 2016 г.
klist
Current LogonId is 0:0x3a258
Cached Tickets: (4)
1 Client: jevans @ EXAMPLE.ORG
Server: krbtgt/AD.EXAMPLE.ORG @ EXAMPLE.COM
KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
Ticket Flags 0x40a50000 -forwardable renewable pre_authent ok_as_delegate name_canonicalize
Start Time: 1/26/2017 8:26:58 (local)
End Time: 1/26/2017 18:25:47 (local)
Renew Time: 1/26/2017 18:25:47 (local)
Session Key Type: RSADSI RC4-HMAC(NT)
Cache Flags: 0
Kdc Called: DC01.example.com
1 Client: jevans @ EXAMPLE.ORG
Server: krbtgt/EXAMPLE.COM @ EXAMPLE.ORG
KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
Ticket Flags 0x40a50000 -forwardable renewable pre_authent ok_as_delegate name_canonicalize
Start Time: 1/26/2017 8:26:58 (local)
End Time: 1/26/2017 18:25:47 (local)
Renew Time: 1/26/2017 18:25:47 (local)
Session Key Type: RSADSI RC4-HMAC(NT)
Cache Flags: 0
Kdc Called: DC01.example.org
2 Client: jevans @ EXAMPLE.ORG
Server: krbtgt/EXAMPLE.ORG @ EXAMPLE.ORG
KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
Ticket Flags 0x40e10000 -forwardable renewable initial pre_authent name_canonicalize
Start Time: 1/26/2017 8:25:47 (local)
End Time: 1/26/2017 18:25:47 (local)
Renew Time: 1/26/2017 18:25:47 (local)
Session Key Type: AES-256-CTS-HMAC-SHA1-96
Cache Flags: 0x1 -PRIMARY
Kdc Called: DC01.example.org
3 Client: jevans @ EXAMPLE.ORG
Server: ldap/AD-DC01.AD.EXAMPLE.ORG/AD.EXAMPLE.ORG @ AD.EXAMPLE.ORG
KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
Ticket Flags 0x40a50000 -forwardable renewable pre_authent ok_as_delegate name_canonicalize
Start Time: 1/26/2017 8:26:58 (local)
End Time: 1/26/2017 18:25:47 (local)
Renew Time: 1/26/2017 18:25:47 (local)
Session Key Type: AES-256-CTS-HMAC-SHA1-96
Cache Flags: 0
Kdc Called: AD-DC01.ad.example.com
Конечная точка Linux ktutils
, затем read_kt /etc/krb5.keytab
, затем list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
1 1 host/linux-server@IPA.EXAMPLE.COM
2 1 host/linux-server@IPA.EXAMPLE.COM
3 1 host/linux-server@IPA.EXAMPLE.COM
4 1 host/linux-server@IPA.EXAMPLE.COM
5 1 host/linux-server@IPA.EXAMPLE.COM
6 1 host/linux-server@IPA.EXAMPLE.COM
7 1 host/linux-server@IPA.EXAMPLE.COM
8 1 host/linux-server@IPA.EXAMPLE.COM
9 1 host/linux-server@IPA.EXAMPLE.COM
10 1 host/linux-server@IPA.EXAMPLE.COM
11 1 host/linux-server@IPA.EXAMPLE.COM
12 1 host/linux-server@IPA.EXAMPLE.COM
Получил это, разбив mingw64 для Cygwin.
mingw64 явно для минималистов, и в нем отсутствуют необходимые пакеты Kerberos (среди многих других замечательных пакетов)
Мне удалось заставить cygwin выполнять не только аутентификацию Kerberos, но и Ключи агента SSH