LINUX.ORG.RU

Аутентификация оффтопика через MIT Kerberos


0

0

Доброго времени суток. В Admin постить рука не поднимается по причине оффтопичности

Подскажите, из-за чего может возникать проблема с аутентификацией через MIT Kerberos?

Судя по логам сервера, выдача TGT проходит успешно, но Win XP SP2 не позволяет залогиниться ("проверьте имя пользователя и пароль" и т.д.).

Добавлял в домен керберос через ksetup из состава Support tools:

ksetup /setdomain EXAMPLE.ORG
ksetup /addkdc EXAMPLE.ORG server.example.org
ksetup /SetComputerPassword password
ksetup /mapuser winuser@EXAMPLE.ORG winuser

Лог цербера:

Apr 08 18:07:42 server krb5kdc[11598](info): AS_REQ (7 etypes {23 -133 -128 3 1 24 -135}) 192.168.0.6: NEEDED_PREAUTH: winuser@EXAMPLE.ORG for krbtgt/EXAMPLE.ORG@EXAMPLE.ORG, Additional pre-authentication required
Apr 08 18:07:42 server krb5kdc[11598](info): AS_REQ (2 etypes {3 1}) 192.168.0.6: ISSUE: authtime 1207663662, etypes {rep=3 tkt=16 ses=1}, winuser@EXAMPLE.ORG for krbtgt/EXAMPLE.ORG@EXAMPLE.ORG
Apr 08 18:07:42 server krb5kdc[11598](info): TGS_REQ (7 etypes {23 -133 -128 3 1 24 -135}) 192.168.0.6: ISSUE: authtime 1207663662, etypes {rep=1 tkt=16 ses=1}, winuser@EXAMPLE.ORG for host/wintest.example.org@EXAMPLE.ORG

Для примера, успешный логин в Debian:

Apr 08 18:09:14 server krb5kdc[11598](info): AS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.0.3: NEEDED_PREAUTH: router@EXAMPLE.ORG for krbtgt/EXAMPLE.ORG@EXAMPLE.ORG, Additional pre-authentication required
Apr 08 18:09:14 server krb5kdc[11598](info): AS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.0.3: ISSUE: authtime 1207663754, etypes {rep=16 tkt=16 ses=16}, router@EXAMPLE.ORG for krbtgt/EXAMPLE.ORG@EXAMPLE.ORG
Apr 08 18:09:14 server krb5kdc[11598](info): TGS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.0.3: ISSUE: authtime 1207663754, etypes {rep=16 tkt=16 ses=16}, router@EXAMPLE.ORG for host/io.example.org@EXAMPLE.ORG

ЗЫ. example.org в DNS имеется, обратная зона тоже.
ЗЗЫ. Сеть домашняя, никсовая. Винда на ноуте сестры.

★★★★★

Re: Аутентификация оффтопика через MIT Kerberos

Через Heimdal Kerberos полёт нормальный. Интересно, в чём причина? Протокол kdc, ЕМНИП, стандартизован.

router ★★★★★ ()

Re: Аутентификация оффтопика через MIT Kerberos

router, ты на своего друга PDC пакет krb поставил? клбчики сгенерировал?

temy4 ()

Re: Аутентификация оффтопика через MIT Kerberos

У меня нет домена виндовс :)

А ключи разумеется сгенерировал. Через kadmin.local

При тех же настройках в виндовс пользователи могут проходить аутентификацию через heimdal kerberos. Вот MIT Kerberos почему-то не подходит. А жаль

router ★★★★★ ()

Re: Аутентификация оффтопика через MIT Kerberos

>Протокол kdc, ЕМНИП, стандартизован.

Microsoft стандарты не указ. Heimdal об этом знает, а MITу microsoft нафиг не нужен, они про вендекопец знали ещё когда билли из универа уходил свою контору организовывать.

dn2010 ★★★★★ ()

Re: Аутентификация оффтопика через MIT Kerberos

Есть подозрение, что можно и через MIT.

http://sial.org/howto/kerberos/windows/

Единственное, чем это отличается от моих действий:

>Use the -e rc4-hmac:normal encryption option if adding a principal for a Windows XP system.

Вечером попробую.

//router

anonymous ()

Re: Аутентификация оффтопика через MIT Kerberos

Да, под самбой можно поднять контроллер домена, помнится чисто из исследовательских соображений поднимал =)

а про керберос (в частности на клиентах) с летней практики ЕМНИП второго курса помню

temy4 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.