Назад | Перейти на главную страницу

Смонтировать CIFS-share с пользователями Kerberos-Ticket

мы хотим смонтировать общие ресурсы через autofs. Ничего особенного мы не подумали. Но: это должно быть сделано в некоторых сложных обстоятельствах Active Directory. Что у нас есть: интегрированные рабочие станции Ubuntu 14.04, на которых пользователи могут входить в систему со своими учетными данными Windows. Большая часть работы выполняется с помощью sssd, который также создает kerberos-ticket при входе в систему.

Теперь: мы хотим использовать этот билет для аутентификации для сетевых ресурсов.

Сложные обстоятельства таковы: AD основан на многих соглашениях о названиях мест. Следующие конфиги анонимны. ЭТА ПРОБЛЕМА:

Попытка монтирования не удалась:

cifs.upcall: find_krb5_cc: considering /tmp/krb5cc_594111_644IQv
cifs.upcall: find_krb5_cc: FILE:/tmp/krb5cc_594111_644IQv is valid ccache
cifs.upcall: handle_krb5_mech: getting service ticket for shareserver.sub.example.org
cifs.upcall: cifs_krb5_get_req: unable to get credentials for shareserver.sub.example.org
cifs.upcall: handle_krb5_mech: failed to obtain service ticket (-1765328377)
cifs.upcall: Unable to obtain service ticket

Таким образом, билет kerberos создан для USERNAME@EXAMPLE.COM. Но мы хотим подключиться к SHARESERVER.SUB.EXAMPLE.ORG

Наш билет kerberos недействителен для подключения к серверу или это неправильно настроенная система kerberos, которая не связывает sub.example.com с example.com.

Krb5.conf:

[libdefaults]
    default_realm = EXAMPLE.COM
# The following krb5.conf variables are only for MIT Kerberos.
    krb4_config = /etc/krb.conf
    krb4_realms = /etc/krb.realms
    kdc_timesync = 1
    ccache_type = 4
    forwardable = true
    proxiable = true

 # The following libdefaults parameters are only for Heimdal Kerberos.
    v4_instance_resolve = false
    v4_name_convert = {
            host = {
                    rcmd = host
                    ftp = ftp
            }
            plain = {
                    something = something-else
            }
    }
    fcc-mit-ticketflags = true
 [realms]

 [domain_realm]
    .example.com = EXAMPLE.COM
    example.com = EXAMPLE.COM
 [login]
    krb4_convert = true
    krb4_get_tickets = false