(Zorunlu acemi öneki: Kerberos ile asla fazla oynamadım, bu yüzden bana burada nazikçe davran!)
İki alanımız var foo.local
ve .test
.
.test
-den klonlandı foo.local
ve, bir kez içinde bir sunucuya giriş yaptıysanız .test
etki alanı düşünüyor olduğu foo.local
domain.
Örneğin. myserver.foo.local
IP adresine sahip 10.250.20.10 ve myserver.test
IP adresine sahip 10. 253 .20.10 ne zaman içeride foo.local
etki alanı, ancak kendini 10.250.20.10 ne zaman içeride .test
domain.
Ek olarak myserver.foo.local
ulaşmak için myserver.test
ama tam tersi doğru değil.
Ayrıca, myserver.foo.local
uzanırken myothersever.foo.local
Gerçekten de içinde bir sunucuya isabet foo.local
etki alanı, ancak ne zaman myserver.test
bağlanır myotherserver.foo.local
o zaman içinde sıkışmış kalır .test
domain.
Bunların hepsi dedi, işte benim /etc/krb5.conf
(öğrenmekten çok mutlu olduğum dosya) çok iyi yapılandırılmamış):
[libdefaults]
default_realm = FOO.LOCAL
[realms]
FOO.LOCAL = {
kdc = foo-dc01.foo.local
}
TEST = {
kdc = foo-dc02.test
}
İçerideki sunuculara bağlanırken hayat iyidir foo.local
ve gerçekten benim kinit
bir tedavi çalışır. Test
çok değil.
myLogin$ kinit -V mylogin@test
mylogin@test's password:
kinit: krb5_get_init_creds: unable to reach any KDC in realm test, tried 0 KDCs
Öyleyse sorular:
1) Test alanına göre doğrulamak için hangi adımları attığımı - nasıl yapılandırabilirim? kinit
kullanmak foo-dc02.test
kimliğini doğrulamak için etki alanı sunucusu (hatta Windows LoginId ve şifrem aynı olduğu belirtilmiş mi)?
2) Bir kez yapıldıktan sonra, myserver.test
türetilmiş belirteçleri kullanır. kinit mylogin@test
bağlantı kurmaya çalışırken
Sistem bilgisi: Tüm AD sunucuları Windows, şu anda POC testlerim MacBook'umdan geliyor ancak Windows, Mac ve Linux'ta çalışan istemcilerin sonunda çalışması gerekecek.