ほとんどの場合、Kerberos経由でログインするLinuxユーザーがいます。しかし、LinuxとWindowsの両方を使用するユーザーも数人いる(< 50)。これは将来的に成長するはずです。 ユーザデータベースをUnix/Kerberos側に保管したいと考えています。Windows ADドメインのアカウントドメインとしてMIT Kerberosを使用する
しかし、何らかの理由で私がそれを逃してしまっても、私はまだそれを動作させることができません。
私は(ドメインが匿名化)いくつかのガイドを読んだ後、次のでした:
1)LinuxのKDC上の/etc/krb5.confするADDCを追加して、Linuxは
AD.DOMAIN = {
kdc = PDC.AD.DOMAIN
admin_server = PDC.AD.DOMAIN
default_domain = ad.domain
}
2をホストしている)を追加しますLinux側のクロスレルムプリンシパル
addprinc -pw <longPW> -requires_preauth [email protected]
addprinc -pw <longPW> -requires_preauth krbtgt/[email protected]
addprinc -pw <longPW> -requires_preauth krbtgt/[email protected]
3)は、Windows ADDCおよびその他のWindowsマシン
にksetupを経由して、レルム情報を追加します。ksetup
default realm = ad.domain (NT Domain)
LINUX.REALM:
kdc = kdc.linux.realm
kpasswd = kdc.linux.realm
Realm Flags = 0x0No Realm Flags
Mapping all users (*) to a local account by the same name (*).
4)
netdom trust /d:LINUX.REALM ad /add /PT:longPW /realm /twoway
チェック経由でWindows側で双方向の信頼を追加し
nltest /TRUSTED_DOMAINS
List of domain trusts:
0: LINUX.REALM (MIT) (Direct Outbound) (Direct Inbound) (Attr: non-trans)
1: AD ad.domain (NT 5) (Forest Tree Root) (Primary Domain) (Native)
The command completed successfully
しかし、また
netdom trust lst /d:LINUX.REALM /verify /KERBEROS /twoway
The command failed to complete successfully.
5)ユーザーへのマッピングを追加返す
altSecurityIdentities for user ad\test shows kerberos: [email protected]
私は(私が欲しいものではありません)広告の\ testでログインすることができますが、私は私が一方
を望んでいる[email protected]としてログインすることはできません。
kinit [email protected]
Password for [email protected]:
[email protected]:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: [email protected]
Valid starting Expires Service principal
21/07/2017 13:24 21/07/2017 23:24 krbtgt/[email protected]
renew until 22/07/2017 13:24
私の問題: 私は、プリンシパル[email protected]でWindows側にログインできません。このトピックに書かれているように、Linux Realmをアカウントドメインにしたいと思っていますが、ADも可能ではありません。私たちは、LinuxユーザーがLinuxアカウント/パスワードでログインして、Linux Realmでアカウントの作成や削除などを処理する必要があるだけです。
私には何が欠けていますか?各Windowsクライアント上の
ksetup /addhosttorealmmap .dns.domain LINUX.REALM
を行う
クロスレルム認証(これが現れます)のように見えるのではなく、LinuxクライアントがKerberos認証のためにADに戻ってくるだけではどうですか? Linuxは、CentrifyクライアントとADに加わることができます。次に、1つのディレクトリサービスのみを管理しています。 –
@ JohnRSmith >> Centrifyライセンス(または競合他社のライセンス)に投資したくない場合でも、Linuxは生のSSSD構成でADに加わることができます。しかし、「notPetya」マルウェアが**多国籍企業のADインフラストラクチャ(50,000台のデスクトップ/ラップトップ)を破壊する可能性があることを目の当たりにして、Windowsベースのテクノロジを使用して中央認証を行う前に、 –
@JohnRSmith私は400以上のユーザーアカウントとサービスをADに移行するのはそれほど簡単ではないと思います。さらに、さらに多くのサーバーのライセンスコストとセキュリティ上の懸念事項も有効です。最後に、ここではWindowsの知識より多くのLinuxがあるため、Windowsインフラストラクチャに移行することは有害である可能性があります。 ご意見ありがとうございます。私は確かに前にそれを見て、我々はそれを議論した。 – Kestrel