Centos 8 IPA trust c AD 2003 ошибка авторизации (Centos 8 IPA trust c AD 2003 ошибка авторизации)

vanya8 · Сообщение **vanya8** » 05.10.2020 11:56

Необходимо создать доверительные отношения между IPA (Centos 8) и AD (функциональный Уровень леса и домена Windows Server 2003).
На Cerntos 7 такая схема работает без проблем.
На Centos 8 (8.0 1905, 8.1 1911 и 8.2 2004) не удаётся добиться работы.
Я устанавливаю IPA Server с параметрами --setup-adtust --enable-compat
Я настраиваю доверие в Windows Server 2008 R2 (функциональный Уровень леса и домена Windows Server 2003) при помощи мастера создания доверия, используя общий ключ.
Я настраиваю доверие не сервере ipa используя команду ipa add-trust с ключем--trust-secret

Дополнительно.
Я добавил в /etc/krb5.conf следующие строки:
allow_weak_crypto = true
default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 des-cbc-md5 rc4-hmac
default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 des-cbc-md5 rc4-hmac
добавил в /etc/krb5.conf.d/crypto-policies алгоритмы

des-cbc-md5 rc4-hmac
Установил крипто политики в значение LEGACY (update-crypto-policies --set LEGACY).
Перезагрузил сервер.

После этого:
Я получаю билет командой kinit winadmin@ad2003.ad.
Я могу получить информацию о существовании пользователя getent winadmin@ad2003.ad.
Но я не могу авторизоваться на сервере или его клиентах используя учётные записи из AD.

Происходит следующая ошибка:
/var/log/krb5kdc.log:
TGS_REQ (4 etypes {aes256-cts-hmac-sha1-96(18), aes128-cts-hmac-sha1-96(17), DEPRECATED:des-cbc-md5(3), DEPRECATED:arcfour-hmac(23)}) 10.125.3.11: PROCESS_TGS: authtime 0, etypes {rep=(0)} <unknown client> for host/dc1-main.compat.ad@COMPAT.AD, No matching key in entry
Смущает то что в запросе не указывается имя пользователя <unknown client>.

из-за уровня домена 2003 используются устаревшие алгоритмы, но они всё ещё должны работать.
klist -e
Etype (skey, tkt): DEPRECATED:arcfour-hmac, DEPRECATED:arcfour-hmac

При использовании Centos 7 или AD 2008 и выше проблем не возникает, но там используется другое шифрование.
Нужно заставить работать Centos 8 и AD 2003