Active Directory: Server 2008 и RHEL 5.10

Приносим извинения, если это повторная публикация. Я гуглил и исследовал эту тему уже более трех недель, и я сталкивался с одной и той же проблемой снова и снова, и мне не удалось ее обойти.

Отказ от ответственности: я не системный администратор, хотя меня заставляли работать на рабочем месте.

Мне было поручено реализовать конфигурацию Active Directory (на Server 2008) для нашей среды, содержащей Windows XP, Windows 7, Server 2003, Server 2008, Server 2008 R2 и Red Hat Enterprise 5.10. Достаточно просто. Получите краткое руководство в Интернете, настройте тестовый сервер виртуальной машины, подключите мой клиент Win7 к моему новому AD. Работает.

Повторить, но попытаться подключить виртуальную машину RHEL 5.10 к AD? Никаких кубиков.

Я следил за 3 различными «руководствами» по настройке Linux для подключения к AD. Более тщательный из них: Аутентификация UNIX / Linux в Windows 2008R2 В частности, настройка RHEL: Часть 3: RHEL 5.6

Перечисленный план атаки:

1. Получите ldapsearch, работающий с простым связыванием, без шифрования
2. Настроить LDAP
3. Убедитесь, что LDAP работает с getent (1), id (1) и т. Д.
4. Экспорт сертификата корневого центра сертификации из Windows в UNIX
5. Убедитесь, что сертификат CA работает с OpenSSL
6. Импортировать сертификат CA
7. Получите LDAPS, работающий с ldapsearch
8. Измените LDAP, чтобы использовать LDAPS, а не LDAP
9. Убедитесь, что Kerberos работает: Первоначально без основного участника (krb5.keytab)
10. Настройте PAM для использования Kerberos (отредактируйте /etc/pam.conf)
11. Убедитесь, что такие службы, как вход в систему, могут использовать керберизованные идентификаторы и что пароль работает.
12. Создайте ключевую вкладку основного узла в Windows. Импортируйте его в UNIX.
13. Убедитесь, что kinit -k работает
14. Отредактируйте /etc/krb5/krb5.conf, включив «verify_ap_req_nofail = true» в раздел [libdefaults]. Это защитит UNIX-сервер, чтобы доказать, что он взаимодействует с надежным KDC.
15. Получите единый вход в систему

Дословно выполнили все шаги, изменив IP-адреса и имена хостов в соответствии с моей тестовой средой. Было сделано одно исключение:

C:\>ktpass /princ host/rhel5host1.example.com@EXAMPLE.COM \
/ptype KRB5_NT_PRINCIPAL /out C:\temp\rhel5host1.keytab /pass mypass \
/crypto AES256-SHA1 /mapuser EXAMPLE\rhel5host1

Получено сообщение об ошибке: получение целевого домена для указанного пользователя.

C:\>ktpass /princ host/rhel5host1.example.com@EXAMPLE.COM \
/ptype KRB5_NT_PRINCIPAL /out C:\temp\rhel5host1.keytab /pass mypass \
/crypto AES256-SHA1 /mapuser EXAMPLE\rhel5host1$

Указав учетную запись машины со знаком доллара, KTPASS пройдет без ошибок.

Все работает на 100%, пока мы не протестируем Kerberos:

[root@rhelad ~]# kinit -k
kinit(v5): Client not found in Kerberos database while getting initial credentials

ОК, погуглим ошибку и получаем:

Ваш принципал Kerberos может отличаться от вашего имени пользователя в вашей локальной системе.

учетные данные krb5_get_init_creds_password () не удалось: клиент не найден в базе данных Kerberos. Убедитесь, что вы вводите правильное имя, а сервер имеет правильное имя (дважды проверьте вкладку учетной записи пользователя, особенно область)

Итак, я проверил, возился и гуглил, но ничего не нашел. По моему мнению, конфигурация RHEL верна, и у меня есть учетные записи компьютеров и пользователей, созданные в AD, без проблем.

Мое предположение состоит в том, что я правильно настроил RHEL, но где-то напортачил при создании клиентов на основе RHEL, настроенных в AD. Да, я включил и настроил атрибуты UNIX, так что дело не в этом.

Может ли кто-нибудь указать мне / показать мне правильные шаги по добавлению и настройке компьютеров и пользователей UNIX в AD? Я с радостью скину конфиги, если захочется.