LINUX.ORG.RU
решено ФорумAdmin

Kerberos+Openldap realm

 


0

1

Добрый день, есть kerberos который работает в связке с openldap на нем есть область EXAMPLE.COM в которой он создает принципалов, появилась необходимость создать вторую область MYCOMPANY.COM, область то создалась в openldap но вот как создавать принципалов в ней не ясно, так как раньше это делалось с помощью kadmin.local который логинился под root/admin@EXAMPLE.COM и там уже можно было создавать принципалы, но сейчас мне нужно создать принципал в другой зоне. Где взять учетку админа и как под ней зайти что бы создать принципал?

А просто выполнить «kadmin.local -r MYCOMPANY.COM» под root-ом, не помогает? Насколько я помню, kadmin.local не должен требовать логина/пароля если запускается от пользователя с UID=0.

viewizard ★★
()

создать вторую область MYCOMPANY.COM

область то создалась в openldap

kdc.conf

Так области же конфижить в kdc.conf надо.
Я с связкой Kerberos + OpenLDAP не работал, но что-то мне подсказывает, что без правильного добавления области в kdc.conf не обойтись. А если она уже там добавленна, и не работает, то проблему скорее всего там же и надо искать.

Или я совсем очевидные вещи говорю?

sphericalhorse ★★★★★
()
Последнее исправление: sphericalhorse (всего исправлений: 1)
Ответ на: комментарий от sphericalhorse

Вот конфиг моего kdc.conf:

[kdcdefaults]
    kdc_ports = 750,88
    default_realm = EXAMPLE.COM
[realms]
    EXAMPLE.COM = {
        database_name = /var/lib/krb5kdc/principal
        admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab
        acl_file = /etc/krb5kdc/kadm5.acl
        key_stash_file = /etc/krb5kdc/.k5.EXAMPLE.COM
        kdc_ports = 750,88
        max_life = 10h 0m 0s
        max_renewable_life = 7d 0h 0m 0s
        master_key_type = des3-hmac-sha1
        supported_enctypes = aes256-cts:normal arcfour-hmac:normal des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3
        default_principal_flags = +preauth

    }
    MYCOMPANY.COM = {
        database_name = /var/lib/krb5kdc/principal 
        admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab 
        acl_file = /etc/krb5kdc/kadm5.acl 
        key_stash_file = /etc/krb5kdc/.k5.MYCOMPANY.COM 
        kdc_ports = 750,88 
        max_life = 10h 0m 0s 
        max_renewable_life = 7d 0h 0m 0s 
        master_key_type = des3-hmac-sha1 
        supported_enctypes = aes256-cts:normal arcfour-hmac:normal des3-hmac-sh$ 
        default_principal_flags = +preauth 
    }


[logging]

   kdc = FILE:/var/log/krb5logs/kdc.log
   admin_server = FILE:/var/log/krb5logs/kadmin.log

Вторая область указывает на ранее созданную область в Openldap.

archonr
() автор топика
Ответ на: комментарий от viewizard
Authenticating as principal root/admin@MYCOMPANY.COM with password.
kadmin.local: Required parameters in kdc.conf missing while initializing kadmin.local interface

Вот что пишет

archonr
() автор топика

Всем спасибо! Разобрался в чем была проблема, обрезан был конфиг в строке supported_enctypes = aes256-cts:normal arcfour-hmac:normal des3-hmac-sh$ при копирование. Поправил, заработала авторизация через kadmin.local -r MYCOMPANY.COM, принципалы создаются нормально. Спасибо!

archonr
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.