LINUX.ORG.RU
ФорумAdmin

freebsd + samba + heimdal + win2k3_домен


0

0

В виндовой сети имеется файлсерв под freebsd, samba, heimdal. Он получает сертификат от КД только после перезагрузки и то невсегда. По команде "# kinit filesever" выдается сертификат на 1 неделю. Где fileserver - это логин сервака в домене. Делаю "# klist":

Credentials cache: FILE:/tmp/krb5cc_0 Principal: administrator@TEST.RU

Issued Expires Principal May 11 09:56:22 May 11 19:56:22 krbtgt/TEST.RU@TEST.RU

Это не работает.

Если перегружаю комп то klist выгладит так:

Credentials cache: FILE:/tmp/krb5cc_0 Principal: administrator@TEST.RU

Issued Expires Principal May 11 09:56:22 May 11 19:56:22 krbtgt/TEST.RU@TEST.RU May 11 09:58:11 May 11 19:56:22 dc2$@TEST.RU

Где dc2 - конторллер домена под win2k3. Вот это уже работает. wbinfo (-t,-u,-g) - отрабатывают нормально.

Вот: /etc/krb5.conf [libdefaults] default_realm = TEST.RU dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h forwardable = yes [realms] TEST.RU = { kdc = dc2.test.ru:88 default_domain = test.ru } [domain_realm] .test.ru = TEST.RU test.ru = TEST.RU

Что вот это за запись: May 11 09:56:22 May 11 19:56:22 krbtgt/TEST.RU@TEST.RU? Как вручную(без перезагрузки) получить сертификат? Как зделать чтобы и при перезагрузке он получался автоматически? Как автоматически(при загрузке компа) войти в домен, чтобы каждый раз не вводить net ads join.

anonymous

Re: freebsd + samba + heimdal + win2k3_домен

Извините. Вот более нормальное форматирование.

Он получает сертификат от КД только после перезагрузки и то невсегда. По команде "# kinit filesever" выдается сертификат на 1 неделю. Где fileserver - это логин сервака в домене. Делаю "# klist":

Credentials cache: FILE:/tmp/krb5cc_0

Principal: administrator@TEST.RU

Issued Expires Principal

May 11 09:56:22 May 11 19:56:22 krbtgt/TEST.RU@TEST.RU

Это не работает.

Если перегружаю комп то klist выгладит так:

Credentials cache: FILE:/tmp/krb5cc_0

Principal: administrator@TEST.RU

Issued Expires Principal

May 11 09:56:22 May 11 19:56:22 krbtgt/TEST.RU@TEST.RU

May 11 09:58:11 May 11 19:56:22 dc2$@TEST.RU

Где dc2 - конторллер домена под win2k3. Вот это уже работает. wbinfo (-t,-u,-g) - отрабатывают нормально.

Вот: /etc/krb5.conf

[libdefaults]

default_realm = TEST.RU

dns_lookup_realm = false

dns_lookup_kdc = false

ticket_lifetime = 24h

forwardable = yes

[realms]

TEST.RU = {

kdc = dc2.test.ru:88

default_domain = test.ru

}

[domain_realm]

.test.ru = TEST.RU

test.ru = TEST.RU

Что вот это за запись: May 11 09:56:22 May 11 19:56:22 krbtgt/TEST.RU@TEST.RU?

Как вручную(без перезагрузки) получить сертификат?

Как зделать чтобы и при перезагрузке он получался автоматически?

Как автоматически(при загрузке компа) войти в домен, чтобы каждый раз не вводить net ads join.

anonymous ()

Re: freebsd + samba + heimdal + win2k3_домен

kinit ...
kgetcred dc2@TEST.RU

делает то, что вы хотите.
Вообще-то, для сервисов можно вытащить постоянный ключ в keytab файл. Может, правда, в венде жизнь устроена как-то иначе, но обычно требуется сделать (под администратором kerberos или под принципалом, у которого есть права на листинг база и извлечение ключа) что-то вроде:

ktutil -k /etc/krb5.keytab get cifs/fileserver.test.ru@TEST.RU

Таким образом в /etc/krb5.keytab будет постоянный ключ для сервиса cifs/fileserver.test.ru@TEST.RU

anonymous ()

Re: freebsd + samba + heimdal + win2k3_домен

>>Что вот это за запись: May 11 09:56:22 May 11 19:56:22 krbtgt/TEST.RU@TEST.RU?

Супербилет или Ticket Granting Ticket (TGT)

anonymous ()
Ответ на: Re: freebsd + samba + heimdal + win2k3_домен от anonymous

Re: freebsd + samba + heimdal + win2k3_домен

А если я по каким-то причинам отлечу от домена, а в это время билет уже протухнет, то для подключения net ads join мне снова надо будет запускать kinit? Обьясните пожалуйста подробнее про получение вечного тикета.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin