LINUX.ORG.RU
ФорумAdmin

freebsd + samba + heimdal + win2k3_домен


0

0

В виндовой сети имеется файлсерв под freebsd, samba, heimdal. Он получает сертификат от КД только после перезагрузки и то невсегда. По команде "# kinit filesever" выдается сертификат на 1 неделю. Где fileserver - это логин сервака в домене. Делаю "# klist":

Credentials cache: FILE:/tmp/krb5cc_0 Principal: administrator@TEST.RU

Issued Expires Principal May 11 09:56:22 May 11 19:56:22 krbtgt/TEST.RU@TEST.RU

Это не работает.

Если перегружаю комп то klist выгладит так:

Credentials cache: FILE:/tmp/krb5cc_0 Principal: administrator@TEST.RU

Issued Expires Principal May 11 09:56:22 May 11 19:56:22 krbtgt/TEST.RU@TEST.RU May 11 09:58:11 May 11 19:56:22 dc2$@TEST.RU

Где dc2 - конторллер домена под win2k3. Вот это уже работает. wbinfo (-t,-u,-g) - отрабатывают нормально.

Вот: /etc/krb5.conf [libdefaults] default_realm = TEST.RU dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h forwardable = yes [realms] TEST.RU = { kdc = dc2.test.ru:88 default_domain = test.ru } [domain_realm] .test.ru = TEST.RU test.ru = TEST.RU

Что вот это за запись: May 11 09:56:22 May 11 19:56:22 krbtgt/TEST.RU@TEST.RU? Как вручную(без перезагрузки) получить сертификат? Как зделать чтобы и при перезагрузке он получался автоматически? Как автоматически(при загрузке компа) войти в домен, чтобы каждый раз не вводить net ads join.

anonymous

Извините. Вот более нормальное форматирование.

Он получает сертификат от КД только после перезагрузки и то невсегда. По команде "# kinit filesever" выдается сертификат на 1 неделю. Где fileserver - это логин сервака в домене. Делаю "# klist":

Credentials cache: FILE:/tmp/krb5cc_0

Principal: administrator@TEST.RU

Issued Expires Principal

May 11 09:56:22 May 11 19:56:22 krbtgt/TEST.RU@TEST.RU

Это не работает.

Если перегружаю комп то klist выгладит так:

Credentials cache: FILE:/tmp/krb5cc_0

Principal: administrator@TEST.RU

Issued Expires Principal

May 11 09:56:22 May 11 19:56:22 krbtgt/TEST.RU@TEST.RU

May 11 09:58:11 May 11 19:56:22 dc2$@TEST.RU

Где dc2 - конторллер домена под win2k3. Вот это уже работает. wbinfo (-t,-u,-g) - отрабатывают нормально.

Вот: /etc/krb5.conf

[libdefaults]

default_realm = TEST.RU

dns_lookup_realm = false

dns_lookup_kdc = false

ticket_lifetime = 24h

forwardable = yes

[realms]

TEST.RU = {

kdc = dc2.test.ru:88

default_domain = test.ru

}

[domain_realm]

.test.ru = TEST.RU

test.ru = TEST.RU

Что вот это за запись: May 11 09:56:22 May 11 19:56:22 krbtgt/TEST.RU@TEST.RU?

Как вручную(без перезагрузки) получить сертификат?

Как зделать чтобы и при перезагрузке он получался автоматически?

Как автоматически(при загрузке компа) войти в домен, чтобы каждый раз не вводить net ads join.

anonymous
()

kinit ...
kgetcred dc2@TEST.RU

делает то, что вы хотите.
Вообще-то, для сервисов можно вытащить постоянный ключ в keytab файл. Может, правда, в венде жизнь устроена как-то иначе, но обычно требуется сделать (под администратором kerberos или под принципалом, у которого есть права на листинг база и извлечение ключа) что-то вроде:

ktutil -k /etc/krb5.keytab get cifs/fileserver.test.ru@TEST.RU

Таким образом в /etc/krb5.keytab будет постоянный ключ для сервиса cifs/fileserver.test.ru@TEST.RU

anonymous
()

>>Что вот это за запись: May 11 09:56:22 May 11 19:56:22 krbtgt/TEST.RU@TEST.RU?

Супербилет или Ticket Granting Ticket (TGT)

anonymous
()
Ответ на: комментарий от anonymous

А если я по каким-то причинам отлечу от домена, а в это время билет уже протухнет, то для подключения net ads join мне снова надо будет запускать kinit? Обьясните пожалуйста подробнее про получение вечного тикета.

anonymous
()
Ответ на: комментарий от anonymous

Да, и зачем нужен супербилет?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin