Добрый день.Вот решил попробовать поднять домен на основе кербероса... однако не пашет, разъясняю ситуацию.
Что имеем: opensuse 11.0 , kerberos 1.6.3 дистрибутивный и windows xp sp2 с патчами что рекомендуют установить вот здесь: http://www.openafs.org/pages/windows.html#hotfix
Конфиги kerberos сервера:
# cat /etc/krb5.conf
[libdefaults]
default_realm = DOM.COM
default_etypes = des3-hmac-sha1 des-cbc-crc
default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
permitted_enctypes = des3-hmac-sha1 des-cbc-crc rc4-hmac
dns_lookup_realm = false
dns_lookup_kdc = true
[realms]
RID.LOC = {
kdc = pdc.dom.com
admin_server = pdc.dom.com
}
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
# cat /var/lib/kerberos/krb5kdc/kdc.conf
[kdcdefaults]
kdc_ports = 750,88
[realms]
DOM.COM = {
database_name = /var/lib/kerberos/krb5kdc/principal
# admin_keytab = FILE:/var/lib/kerberos/krb5kdc/kadm5.keytab
# acl_file = /var/lib/kerberos/krb5kdc/kadm5.acl
# dict_file = /var/lib/kerberos/krb5kdc/kadm5.dict
key_stash_file = /var/lib/kerberos/krb5kdc/.k5.DOM.COM
supported_enctypes = des3-hmac-sha1:normal des-cbc-crc:normal rc4-hmac:normal
# kdc_ports = 750,88
# max_life = 10h 0m 0s
# max_renewable_life = 7d 0h 0m 0s
}
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
запись для хоста заведена, так:
kadmin.local: ank -e rc4-hmac:normal host/host2-75.dom.com
для юзера так:
kadmin.local: ank test
Все вроде, в венде вывод ksetup.exe (тот что из пакета support tools) выглядит так:
C:\Program Files\Support Tools>ksetup.exe
default realm = DOM.COM (external)
RID.LOC:
kdc = pdc.dom.com
kpasswd = pdc.dom.com
Realm Flags = 0x0 none
Mapping all users (*) to a local account by the same name (*).
Все вроде бы ничего, но при попытке залогиниться в венде, в среду kerberos вываливается сообщение следующего содержания:
"Не удается войти в систему из-за следующей ошибки:
Именам пользователей не сопоставлены коды защиты данных.
Повторите попытку или обратитесь к системному администратору."
Вот так. А в логах кербероса при этом валится всегда следующее:
Oct 15 16:15:20 pdc krb5kdc[8382](info): AS_REQ (7 etypes {23 -133 -128 3 1 24 -135}) 192.168.2.75: ISSUE: authtime 1255608920, etypes {rep=23 tkt=16 ses=1}, test@DOM.COM for krbtgt/DOM.COM@DOM.COM
Oct 15 16:15:20 pdc krb5kdc[8382](info): AS_REQ (7 etypes {23 -133 -128 3 1 24 -135}) 192.168.2.75: ISSUE: authtime 1255608920, etypes {rep=23 tkt=16 ses=1}, test@DOM.COM for krbtgt/DOM.COM@DOM.COM
Oct 15 16:15:20 pdc krb5kdc[8382](info): AS_REQ (7 etypes {23 -133 -128 3 1 24 -135}) 192.168.2.75: ISSUE: authtime 1255608920, etypes {rep=23 tkt=16 ses=1}, test@DOM.COM for krbtgt/DOM.COM@DOM.COM
Oct 15 16:15:20 pdc krb5kdc[8382](info): TGS_REQ (7 etypes {23 -133 -128 3 1 24 -135}) 192.168.2.75: ISSUE: authtime 1255608920, etypes {rep=1 tkt=23 ses=23}, test@DOM.COM for host/host2-75.dom.com@DOM.COM
Oct 15 16:15:20 pdc krb5kdc[8382](info): TGS_REQ (7 etypes {23 -133 -128 3 1 24 -135}) 192.168.2.75: ISSUE: authtime 1255608920, etypes {rep=1 tkt=23 ses=23}, test@DOM.COM for host/host2-75.dom.com@DOM.COM
Oct 15 16:15:20 pdc krb5kdc[8382](info): TGS_REQ (7 etypes {23 -133 -128 3 1 24 -135}) 192.168.2.75: ISSUE: authtime 1255608920, etypes {rep=1 tkt=23 ses=23}, test@DOM.COM for host/host2-75.dom.com@DOM.COM
Вобщем вот такие пироги... делал по примеру как вот здесь: http://sial.org/howto/kerberos/windows/
Я незнаю, может в венде политики шифрования кривые какие то, но не работает хоть убейся :(