keytab auth su samba 4 DC: il client non è trovato nel database Kerberos mentre ottiene le credenziali iniziali

Ho impostato una directory triggers di samba 4 su ubuntu 14.04 dopo Samba AD DC HOWTO . In linea di principio tutto funziona bene, ma sono bloccato nell'get l'authentication kerberos in esecuzione utilizzando SPN per applicazioni web. Quando cerco di correre

kinit -k -t keytabfile http/myserver.mycompany.com 

Ho sempre un a

 kinit: Client not found in Kerberos database while getting initial credentials 

Quello che ho già controllato finora:

  • DNS sta lavorando su entrambi i lati in avanti e indietro, restituendo FQNs
  • kinit lavora usando il nome utente
  • myserver.mycompany.com è restituito da nslookup su dc e il webserver
  • myserver è già entrato nel dominio ed è elencato in
    CN = Computers, DC = mycompany, DC = com
  • non ci sono SPN dublicate

Ho creato l'account di servizio / SPN / keytabs come segue:

 samba-tool user create $ADS_USER $ADS_PW --userou=$USER_OU samba-tool user setexpiry --noexpiry $ADS_USER samba-tool spn add ${SERVICE_TYPE}/${SERVICE_HOST}.${MY_DOMAIN} $ADS_USER samba-tool spn add ${SERVICE_TYPE}/${SERVICE_HOST} $ADS_USER samba-tool spn list $ADS_USER rm -f $MY_KEYTAB samba-tool domain exportkeytab $MY_KEYTAB --principal=${SERVICE_TYPE}/${SERVICE_HOST}.${MY_DOMAIN} samba-tool domain exportkeytab $MY_KEYTAB --principal=${SERVICE_TYPE}/${SERVICE_HOST} 

quando si esegue lo stile klist -k -e $ MY_KEYTAB tutto sembra buono:

 root@myhost:~# klist -ke ./test.keytab Keytab name: FILE:./test.keytab KVNO Principal ---- -------------------------------------------------------------------------- 1 http/myserver.mycompany.com@MYCOMPANY.COM (des-cbc-crc) 1 http/myserver.mycompany.com@MYCOMPANY.COM (des-cbc-md5) 1 http/myserver.mycompany.com@MYCOMPANY.COM (arcfour-hmac) 1 http/myserver@MYCOMPANY.COM (des-cbc-crc) 1 http/myserver@MYCOMPANY.COM (des-cbc-md5) 1 http/myserver@MYCOMPANY.COM (arcfour-hmac) 

Sono persa, ho studiato diverse ore in google e non ho idea di come funzionare / correggere l'errore "Client non trovato nel database Kerberos". Qualsiasi suggerimento è benvenuto!

Grazie

il mio "/etc/krb5.conf" sul client

 [libdefaults] debug = true default_realm = MYCOMPANY.COM dns_lookup_realm = false dns_lookup_kdc = false default_tkt_enctypes = rc4-hmac default_tgs_enctypes = rc4-hmac [realms] MYCOMPANY.COM = { kdc = dc01.mycompany.com admin_server = dc01.mycompany.com kpasswd_server = dc01.mycompany.com #ktpasswd_server = dc01.mycompany.com #admin_server = dc01.mycompany.com } [domain_realm] .mycompany.com = MYCOMPANY.COM mycompany.com = MYCOMPANY.COM 

sul server dc /etc/samba/smb.conf

 [global] debug level = 1 syslog = 1 max log size = 0 workgroup = MYCOMPANY realm = MYCOMPANY.COM netbios name = DC01 server role = active directory domain controller server string = MYCOMPANY domain controller server role check:inhibit = yes dns forwarder = 192.168.22.1 idmap_ldb:use rfc2307 = yes 

2 Solutions collect form web for “keytab auth su samba 4 DC: il client non è trovato nel database Kerberos mentre ottiene le credenziali iniziali”

Alla fine l'ho ottenuto!

Il

 samba-tool spn add ... 

non (ri) denomina l'UPN come previsto nella directory. Lo trovai confrontando con le voci MS ADS. Quindi il lavoro in giro è quello di modificare il valore a mano prima di emettere il command exportkeytab:

  • Aprire la voce dell'utente del servizio con uno strumento ldap (ho usato Apache Directory Studio) e
  • Trova l'utente appena creato Modifica "userPrincipalName" per riflettere servicePrincipleName + REALM (nel mio caso http/myserver.mycompany.com@MYCOMPANY.COM)
  • keytab di esportzione e tutto funziona come previsto

sulla macchina di destinazione

 kinit -k -t http/myserver.mycompany.com 

lavora senza alcuna lamencanvas! Speriamo che questo aiuta altri che tentano di impostare SSO con Samba4 …

Inizialmente ho trovato sotto l'errore nell'ambiente Redhat Linux.

kinit: Il client non è trovato nel database Kerberos mentre ottiene le credenziali iniziali

Mentre ho provato con l'account sottoscrizione registrato con il F_KEY

 $ kinit HOST/domainname.no@HOSTNAME.NET 

E mi ha chiesto di fornire la password e ha funzionato!

Sono in grado di generare il file 'cache di credenziali krb5cc_0' sotto la cartella / tmp nel server.

Posso elencare tutti i dettagli usando il command 'klist' sul temporaneo TGT.

  1. Avvio valido
  2. Scade
  3. Principale di servizio
Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.