Kerberos - přihlášení do domény

ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
Kerberos - přihlášení do domény
« kdy: 30. 03. 2015, 08:54:54 »
Ahoj,
měl jsem celou dobu zato, že přihlášení do domény je nutně závislé na vydání ticketu kerberosem, ale v mém případě přihlásím stanici(win7) do domény (DC na Samba4), přihlášení proběhne, poté se podívám na stroji kde běží samba4+kerberos na seznam vydaných ticketů pomocí:
klist
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)

a vidím, že nebyl vydán žádný ticket
Kerberos jako takový funguje což jsem ověřil přímím přihlášením uživatele pomocí kinit
poté je ticket vidět
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.


M.

Re:Kerberos - přihlášení do domény
« Odpověď #1 kdy: 30. 03. 2015, 09:31:01 »
Nu, ale tobě přidělené tickety po přihlášení na Win7 stanici musíš hledat v té win7 stanici příkazem klist a ne na serveru.
Po zavolání kinit se ti pošle nový krbtgt ticket a uloží do lokální cache, ten pak vydíš tím klist příkazem.
Pokud si na tom linux serveru nakonfiguruješ SSH server tak, aby ověřoval pomocí kerberosu a v SSH klientu zapneš také kerberos ověření plus forward ticketu, tak pak po přihlášení na server ti klist ukáže ten forwardnutý klientský ticket. Pokud chceš používat Putty, tak aby fungoval forward Kerberos ticketu, tak musíš používat MIT Kerberos a ne Microsoft SSPI pod Win7. Takže nainstalovat do Win stanice ještě toto: http://web.mit.edu/kerberos/dist/#kfw-4.0
Identity manager od MITu si umí vytahat přidělené tickety do systému a použít je pak transparentně přes MIT knihovny.

ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
Re:Kerberos - přihlášení do domény
« Odpověď #2 kdy: 30. 03. 2015, 09:52:09 »
díky
a je vůbec možné vylistovat na straně kerberos serveru jaké tickety vydal?
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

M.

Re:Kerberos - přihlášení do domény
« Odpověď #3 kdy: 30. 03. 2015, 10:15:25 »
Kerberos server si pro správnou funkci a následné ověřování nepotřebuje pamatovat vydané tickety (a to ani session key pro TGT ticket), vše potřebné vždy dostane jako obsah žádosti/ticketu, takže je nevylistuješ. Leda pokud se zapne nějaké důkladnější logování, tak pak možná bude zapisovat do logu, co aktuálně komu vydal. MIT Kerberos server to uměl, Samba4 asi bude také, ale neměl jsem potřebu zatím po tom pátrat. :-)

ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
Re:Kerberos - přihlášení do domény
« Odpověď #4 kdy: 30. 03. 2015, 10:45:19 »
díky za objasnění
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.