Добрый день.

Вот решил попробовать поднять домен на основе кербероса... однако не пашет, разъясняю ситуацию.
Что имеем: opensuse 11.0 , kerberos 1.6.3 дистрибутивный и windows xp sp2 с патчами что рекомендуют установить вот здесь: http://www.openafs.org/pages/windows.html#hotfix

Конфиги kerberos сервера:

# cat /etc/krb5.conf
[libdefaults]
        default_realm = DOM.COM
        default_etypes = des3-hmac-sha1 des-cbc-crc
        default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
        default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
        permitted_enctypes = des3-hmac-sha1 des-cbc-crc rc4-hmac
        dns_lookup_realm = false
        dns_lookup_kdc = true

[realms]
        RID.LOC = {
                kdc = pdc.dom.com
                admin_server = pdc.dom.com
        }

[logging]
    kdc = FILE:/var/log/krb5/krb5kdc.log
    admin_server = FILE:/var/log/krb5/kadmind.log
    default = SYSLOG:NOTICE:DAEMON

# cat /var/lib/kerberos/krb5kdc/kdc.conf
[kdcdefaults]
        kdc_ports = 750,88

[realms]
        DOM.COM = {
                database_name = /var/lib/kerberos/krb5kdc/principal
#               admin_keytab = FILE:/var/lib/kerberos/krb5kdc/kadm5.keytab
#               acl_file = /var/lib/kerberos/krb5kdc/kadm5.acl
#               dict_file = /var/lib/kerberos/krb5kdc/kadm5.dict
                key_stash_file = /var/lib/kerberos/krb5kdc/.k5.DOM.COM
                supported_enctypes = des3-hmac-sha1:normal des-cbc-crc:normal rc4-hmac:normal
#               kdc_ports = 750,88
#               max_life = 10h 0m 0s
#               max_renewable_life = 7d 0h 0m 0s
        }

[logging]
    kdc = FILE:/var/log/krb5/krb5kdc.log
    admin_server = FILE:/var/log/krb5/kadmind.log

запись для хоста заведена, так:
kadmin.local: ank -e rc4-hmac:normal host/host2-75.dom.com
для юзера так:
kadmin.local: ank test

Все вроде, в венде вывод ksetup.exe (тот что из пакета support tools) выглядит так:

C:\Program Files\Support Tools>ksetup.exe
default realm = DOM.COM (external)
RID.LOC:
        kdc = pdc.dom.com
        kpasswd = pdc.dom.com
        Realm Flags = 0x0 none
Mapping all users (*) to a local account by the same name (*).

Все вроде бы ничего, но при попытке залогиниться в венде, в среду kerberos вываливается сообщение следующего содержания:
"Не удается войти в систему из-за следующей ошибки:
Именам пользователей не сопоставлены коды защиты данных.
Повторите попытку или обратитесь к системному администратору."

Вот так. А в логах кербероса при этом валится всегда следующее:

Oct 15 16:15:20 pdc krb5kdc[8382](info): AS_REQ (7 etypes {23 -133 -128 3 1 24 -135}) 192.168.2.75: ISSUE: authtime 1255608920, etypes {rep=23 tkt=16 ses=1}, test@DOM.COM for krbtgt/DOM.COM@DOM.COM
Oct 15 16:15:20 pdc krb5kdc[8382](info): AS_REQ (7 etypes {23 -133 -128 3 1 24 -135}) 192.168.2.75: ISSUE: authtime 1255608920, etypes {rep=23 tkt=16 ses=1}, test@DOM.COM for krbtgt/DOM.COM@DOM.COM
Oct 15 16:15:20 pdc krb5kdc[8382](info): AS_REQ (7 etypes {23 -133 -128 3 1 24 -135}) 192.168.2.75: ISSUE: authtime 1255608920, etypes {rep=23 tkt=16 ses=1}, test@DOM.COM for krbtgt/DOM.COM@DOM.COM
Oct 15 16:15:20 pdc krb5kdc[8382](info): TGS_REQ (7 etypes {23 -133 -128 3 1 24 -135}) 192.168.2.75: ISSUE: authtime 1255608920, etypes {rep=1 tkt=23 ses=23}, test@DOM.COM for host/host2-75.dom.com@DOM.COM
Oct 15 16:15:20 pdc krb5kdc[8382](info): TGS_REQ (7 etypes {23 -133 -128 3 1 24 -135}) 192.168.2.75: ISSUE: authtime 1255608920, etypes {rep=1 tkt=23 ses=23}, test@DOM.COM for host/host2-75.dom.com@DOM.COM
Oct 15 16:15:20 pdc krb5kdc[8382](info): TGS_REQ (7 etypes {23 -133 -128 3 1 24 -135}) 192.168.2.75: ISSUE: authtime 1255608920, etypes {rep=1 tkt=23 ses=23}, test@DOM.COM for host/host2-75.dom.com@DOM.COM

Вобщем вот такие пироги... делал по примеру как вот здесь: http://sial.org/howto/kerberos/windows/
Я незнаю, может в венде политики шифрования кривые какие то, но не работает хоть убейся :(