мы хотим смонтировать общие ресурсы через autofs. Ничего особенного мы не подумали. Но: это должно быть сделано в некоторых сложных обстоятельствах Active Directory. Что у нас есть: интегрированные рабочие станции Ubuntu 14.04, на которых пользователи могут входить в систему со своими учетными данными Windows. Большая часть работы выполняется с помощью sssd, который также создает kerberos-ticket при входе в систему.
Теперь: мы хотим использовать этот билет для аутентификации для сетевых ресурсов.
Сложные обстоятельства таковы: AD основан на многих соглашениях о названиях мест. Следующие конфиги анонимны. ЭТА ПРОБЛЕМА:
Попытка монтирования не удалась:
cifs.upcall: find_krb5_cc: considering /tmp/krb5cc_594111_644IQv
cifs.upcall: find_krb5_cc: FILE:/tmp/krb5cc_594111_644IQv is valid ccache
cifs.upcall: handle_krb5_mech: getting service ticket for shareserver.sub.example.org
cifs.upcall: cifs_krb5_get_req: unable to get credentials for shareserver.sub.example.org
cifs.upcall: handle_krb5_mech: failed to obtain service ticket (-1765328377)
cifs.upcall: Unable to obtain service ticket
Таким образом, билет kerberos создан для USERNAME@EXAMPLE.COM. Но мы хотим подключиться к SHARESERVER.SUB.EXAMPLE.ORG
Наш билет kerberos недействителен для подключения к серверу или это неправильно настроенная система kerberos, которая не связывает sub.example.com с example.com.
Krb5.conf:
[libdefaults]
default_realm = EXAMPLE.COM
# The following krb5.conf variables are only for MIT Kerberos.
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
# The following libdefaults parameters are only for Heimdal Kerberos.
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true
[realms]
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
[login]
krb4_convert = true
krb4_get_tickets = false