LINUX.ORG.RU
решено ФорумAdmin

[Решено] macOS «не работает» kinit при подключении через SSH

 , , ,


0

1
Решение:
В переменные окружения root-a передавалась переменная KRB5CCNAME
Которая в свою очередь формировалась при логине по SSH
После - unset KRB5CCNAME 
Всё работает отлично.

Колеги, проблема след. характера.

При локальном использовании - работает отлично. При подключении через SSH от имени лок. админа - работает отлично.

При подключении через SSH от имени доменного пользователя - сразу заказывается Kerberos TGT.

Командой klist видно

Credentials cache: API:*******
        Principal: ********

  Issued                Expires               Principal
Oct  4 13:27:09 2019  Oct  4 23:27:09 2019  ****************

По условиям поставленной задачи - нам тикет нужен в котором в поле Principal: выступает $(hostname -s)$

Затем делаем kdestroy дабы убрать существующий TGT И заказываем новый

hostname:~ *****$ sudo kinit -V -e aes256-cts-hmac-sha1-96 -k $(hostname -s)$; echo $?
Placing tickets for '**********' in cache '*********'
0
******:~ ****** klist
klist: krb5_cc_get_principal: No credentials cache file found

Тоесть, тикет вроде заказан успешно и помещен в cache API:такой-то, но либо SSH его не видит. Либо я торможу.

Вопрос. Куда копать?

P.S. Мак в домене. Заведен в домен при помощи /usr/sbin/dsconfigad



Последнее исправление: i3wm (всего исправлений: 3)

А ты точно уверен, что керберос на маке работает? И как ты его готовил? Хотя бы показал что ты делаешь, а то гадать по кофейной не выйдет, ибо телепаты в отпуске

Deleted
()
Ответ на: комментарий от Deleted

Прошу прощения, опубликовал пост перед тем как написал тело обращения)

i3wm
() автор топика
Ответ на: комментарий от vasily_pupkin

Я уже пробовал при коннекте через SSH - sudo su

whoami говорит root

А тикет - та же ситуация.

i3wm
() автор топика
Ответ на: комментарий от vasily_pupkin

Вот, будучи подключенним через SSH сделал sudo su

bash-3.2# klist 
klist: krb5_cc_get_principal: No credentials cache file found
bash-3.2# whoami
root
bash-3.2# kinit -V -e aes128-cts-hmac-sha1-96 -k $(hostname -s)$
Placing tickets for 'hostname$@domain.lcl' in cache 'API:********'
bash-3.2# klist 
klist: krb5_cc_get_principal: No credentials cache file found
bash-3.2# 
i3wm
() автор топика
Ответ на: комментарий от i3wm

Попробую установить brew и обновить ssh

Сейчас

bash-3.2# ssh -v localhost
OpenSSH_7.8p1, LibreSSL 2.6.2
i3wm
() автор топика
Ответ на: комментарий от vasily_pupkin

Автоматом он и без того выпускается.

Только принципалм является аккаунт от которого залогинились.

А мне нужно, чтоб принципалом являлся аккаунт компьютера.

И при заказе тикета от имени ПК - он вроде как и заказыватся, ошибок нет, но система не видит. Или SSH не видит.

i3wm
() автор топика
Ответ на: комментарий от anonymous

Работает. Спасибо добрый человек.

i3wm
() автор топика
Ответ на: комментарий от anonymous

В окружение root передавалсь переменная KRB5CCNAME от аккаунта с которого логинился по SSH. После unset KRB5CCNAME - всё отлично.

i3wm
() автор топика
Ответ на: комментарий от i3wm

В окружение root передавалсь переменная

в этом и есть смысл '-', чтобы не передавались переменные из текущего окружения.

anonymous
()
Ответ на: комментарий от anonymous

Не опытний еще, матчасть плохо знаю. :) Благодарю.

i3wm
() автор топика

Немного оффтопа. Вопрос. На текущий момент и в вашем варианте использования какой профит от заведения мака в ад? Правда интересно.

anc ★★★★★
()
Ответ на: комментарий от anc

Управление групами прав. Динамическое инвентори с AD. Разброс политик на основании груп в которых объект. Мониторинг сети. Выдача сертификатов 8021х.

i3wm
() автор топика
Ответ на: комментарий от i3wm

Даже так. Действительно за годы что-то поменялось. Спасибо.
ЗЫ У меня когда-то OD был в варианте много маков, со временем стало не актуально, а ад тогда был так себе, не пришей кобыле хвост, толку ровно ноль, кроме как пользователями рулить.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Дык, АД на маке само по себе не очень надобно. Много, что смотрит в АД, видит там группу и применяет что-то, но, по сути - это делается при помощи третьих инструментов. А-ля, ансибл, паппет…

i3wm
() автор топика
Ответ на: комментарий от i3wm

И ещё до кучи вопрос, он в мобильные профили уже научился работать без глюков? Или у вас такой задачи возможно нет?

anc ★★★★★
()
Ответ на: комментарий от i3wm

Аааа, всё по старинке, ничего не поменялось. Понял. Ещё раз спасибо.

anc ★★★★★
()
Ответ на: комментарий от i3wm

Возможно вы не поняли, я про синхронизацию профилей, ну вот у вас «ноут» и «комп», ноут «уехал», когда оказался в сети мы синхронизируем профили между «комп» и «ноут». Только все это не сторонними средствами а из каробки. Вот что интересно было.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Я подобное в нас пока не встречал. Но думаю, шо ничего не поменялось) Вам спасибо, опробую на досуге.

i3wm
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.