Kerberos krb5.conf dosyasını birincil ve ikincil 'klonlanmış' etki alanını işlemek için yapılandırma

(Zorunlu acemi öneki: Kerberos ile asla fazla oynamadım, bu yüzden bana burada nazikçe davran!)

İki alanımız var foo.local ve .test.

.test -den klonlandı foo.local ve, bir kez içinde bir sunucuya giriş yaptıysanız .test etki alanı düşünüyor olduğu foo.local domain.

Örneğin. myserver.foo.local IP adresine sahip 10.250.20.10 ve myserver.test IP adresine sahip 10. 253 .20.10 ne zaman içeride foo.local etki alanı, ancak kendini 10.250.20.10 ne zaman içeride .test domain.

Ek olarak myserver.foo.local ulaşmak için myserver.test ama tam tersi doğru değil.

Ayrıca, myserver.foo.local uzanırken myothersever.foo.local Gerçekten de içinde bir sunucuya isabet foo.local etki alanı, ancak ne zaman myserver.test bağlanır myotherserver.foo.local o zaman içinde sıkışmış kalır .test domain.

Bunların hepsi dedi, işte benim /etc/krb5.conf (öğrenmekten çok mutlu olduğum dosya) çok iyi yapılandırılmamış):

[libdefaults]
  default_realm = FOO.LOCAL

[realms]
    FOO.LOCAL = {
        kdc = foo-dc01.foo.local
    }

    TEST = {
        kdc = foo-dc02.test
    }

İçerideki sunuculara bağlanırken hayat iyidir foo.local ve gerçekten benim kinit bir tedavi çalışır. Test çok değil.

myLogin$ kinit -V  mylogin@test
mylogin@test's password: 
kinit: krb5_get_init_creds: unable to reach any KDC in realm test, tried 0 KDCs

Öyleyse sorular:

1) Test alanına göre doğrulamak için hangi adımları attığımı - nasıl yapılandırabilirim? kinit kullanmak foo-dc02.test kimliğini doğrulamak için etki alanı sunucusu (hatta Windows LoginId ve şifrem aynı olduğu belirtilmiş mi)?

2) Bir kez yapıldıktan sonra, myserver.test türetilmiş belirteçleri kullanır. kinit mylogin@test bağlantı kurmaya çalışırken

Sistem bilgisi: Tüm AD sunucuları Windows, şu anda POC testlerim MacBook'umdan geliyor ancak Windows, Mac ve Linux'ta çalışan istemcilerin sonunda çalışması gerekecek.

Örneğin. myserver.foo.local, 10.250.20.10 IP adresine ve myserver.test foo.local alanı içindeyken 10.253.20.10 IP adresine sahiptir, ancak.

Adresleme, istemciler DNS adlarını çözebildikleri ve sunucularla konuşabildikleri (IP paketleri gönderip / alabilirler) sürece, Kerberos ile ilgili değildir.

myLogin $ kinit -V mylogin @ testi
mylogin @ testin şifresi:
kinit: krb5_get_init_creds: bölge testinde herhangi bir KDC'ye ulaşılamadı, 0 KDC denedim

Kimlik doğrulaması yapmaya çalışıyorsunuz. test Diyar. Kerberos'a göre bu değil aynı TEST krb5.conf dosyasındaki bölge - DNS alan adlarından veya AD alan adlarından farklı olarak, Kerberos alan adı büyük / küçük harf duyarlıdır.

Çünkü küçük harf test bölge krb5.conf'unuzda [bölge] içinde değildir, kinit KDC sunucusunu bulmak için başka yöntemler kullanır - DNS SRV'yi arar _kerberos._udp.<realm> bölge tekrar bir DNS alanına çevrildikten sonra kayıtlar.

Örneğin, karşı kimlik doğrulaması yaparken …@test veya …@TEST ve eşleşen [bölge] alt bölümü yoktur, adresinde SRV kayıtlarına ihtiyacınız olacaktır. _kerberos._udp.test en düşükte. (Aktif Dizin meli bunları otomatik olarak ekle.)

Ya kullanın kinit mylogin@TEST Doğru durumda veya [bölge] yapılandırmasını ayarlayın veya cihazınızda SRV kayıtları olduğundan emin olun. test DNS etki alanı, etki alanı denetleyicisine işaret ediyor.

(Ayrıca: Küçük harf kullanmayı seçtiyseniz kinit mylogin@test, Active Directory KDC'ler irade küçük harfleri tanıyın, ancak iade edilen biletler yine de kanonik büyük harf alemine sahipti ve çoğu kinit sürümleri uyumsuzluk yanıtını reddedecek. Kullanarak kanonlaştırmaya izin vereceksiniz kinit -C.)

Müşteri yazılımınız MIT Krb5 ise, export KRB5_TRACE=/dev/stderr tam olarak ne yaptığı hakkında daha fazla bilgi edinmek için. (macOS muhtemelen Heimdal kullanmaktadır.)

2) Bir kez yapıldığında, myserver.test'e bağlanırken bir bağlantı girişiminde kinit mylogin @ testinden türetilen jetonu kullandığından nasıl emin olabilirim?

Hangi kimlik bilgisi önbelleği türünün kullanıldığını kontrol edin (gösterildiği gibi klist "Ticket cache" 'de veya $ KRB5CCNAME ortam değişkeninde ayarlayın).

Geleneksel "FILE:" kimlik bilgisi önbelleği, ilk başta yalnızca bir müşteri sorumlusu için bilet alabilir. Mylogin @ TEST gibi kinit yaparsanız, her zaman mylogin @ TEST için bilet kullanıyor olabilirsiniz. Bu durumda $ KRB5CCNAME 'i farklı yollara ayarlayarak farklı önbellekler arasında manuel olarak geçiş yapmanız gerekecek.

$ export KRB5CCNAME="FILE:/tmp/krb5cc_1000_prod" && kinit user@PROD && klist
$ export KRB5CCNAME="FILE:/tmp/krb5cc_1000_test" && kinit user@TEST && klist

$ kset() { export KRB5CCNAME="FILE:/tmp/krb5cc_$(id -u)_$1"; }
$ kset prod && kinit user@PROD && klist

MIT Krb5 kullanılırken, "DIR:" ve (Linux'ta) "KEYRING:" kimlik bilgileri önbellekleri aynı anda birden fazla müşteri müdürünü destekler. Birden çok kez kinit yapabilir, sonra kullanarak 'aktif' prensibi değiştirebilirsiniz kswitch hatta özel kuralları tanımlayın. ~/.k5identity dosya (adam 5 k5identity).

Ne yazık ki, bazı önemli programlar (smbclient veya Apache Directory Studio gibi) henüz "DIR:" önbelleklerini anlamıyor (ya da FILE hariç:).

MacOS kullanırken, yukarıdakilerin aynısı geçerlidir, ancak varsayılan kimlik bilgisi önbellek türünün "KCM:" olduğuna inanıyorum. muhtemelen birden fazla müşteri müdürü bulundurmak. Ya da belki değil ¯ \ _ (ツ) _ / ¯

Windows farklı çalışır; Bilet önbelleği oturum açma oturumunuza sıkıca bağlı ve (yine) yalnızca bir müşteri sorumlusunu destekliyor. Programları tam oturumu kapat / oturum açmadan başka bir yönetici olarak başlatmak için, runas /netonly:

runas /netonly /user:mylogin@test cmd