Kerberos в Linux

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модераторы: SLEDopit, Модераторы разделов

Андрей К.
Сообщения: 12

Kerberos в Linux

Сообщение Андрей К. »

Настраиваю Kerbeos. KDC – Windows Server 2003. На Linux должны выполняться некоторые сервисы, доступ к которым должен быть через Kerberos.
Файл krb.conf:
# krb5.conf – Kerberos Configuration File for the EXAMPLE.COM realm
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = EXAMPLE.COM
dns_lookup_realm = false
dns_lookup_kdc = false
default_tkt_enctypes = des-cbc-md5
default_tgs_enctypes = des-cbc-md5
[realms]
EXAMPLE.COM = {
kdc = kerberos.example.com:88
admin_server = kerberos.example.com:749
default_domain = example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM

Линуксовую машину настраиваю по прилагаемому мануалу (раздел – Using Kerberos Clients). Создаю в Win учётную запись и принципал для машины с Linux:
ktpass -princ host/linux.example.com@EXAMPLE.COM -mapuser lin_acount -pass password -out UNIXmachine.keytab

Получившийся keytab переношу на машину с Linux, копирую в /etc и в ktutil запускаю:
rkt UNIXmachine.keytab

Проверяю командой list – всё есть.

А вот насчёт учётных записей пользователей, которые вроде как тоже надо создавать в Active Directory, не совсем понял. Я должен для каждого пользователя Linux создать по учётной записи? И принципал для каждого тоже нужно создавать при помощи ktpass или Win сам это сделает? Если нужно, то имя принципала вводить как user@EXAMPLE.COM? И нужно ли потом аналогичным образом перемещать получившиеся файлы *.keytab на машину Linux?

3-й пункт мануала остался для меня вовсе загадкой. Нужно, что ли, просто создать в Linux таких же пользователей как в Windows?

Далее правлю /etc/pam.d/login, добавляя к имеющемуся следующие строки:
auth required pam_krb5.so use_first_pass
session optional pam_krb5.so

Пытаюсь:
login username
Просит пароль для username@EXAMPLE.COM
Ввожу пароль – говорит «не пущу». Смотрю после этого логи на Windows Server – там записано, что выдача билета прошла успешно.

Что делаю не так (или не делаю чего-то)? Спасибо.
Спасибо сказали:
Вернуться к началу

Вернуться в «Администрирование»