Fórum Root.cz
Hlavní témata => Server => Téma založeno: ZAJDAN 30. 03. 2015, 08:54:54
-
Ahoj,
měl jsem celou dobu zato, že přihlášení do domény je nutně závislé na vydání ticketu kerberosem, ale v mém případě přihlásím stanici(win7) do domény (DC na Samba4), přihlášení proběhne, poté se podívám na stroji kde běží samba4+kerberos na seznam vydaných ticketů pomocí:
klist
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)
a vidím, že nebyl vydán žádný ticket
Kerberos jako takový funguje což jsem ověřil přímím přihlášením uživatele pomocí kinit
poté je ticket vidět
-
Nu, ale tobě přidělené tickety po přihlášení na Win7 stanici musíš hledat v té win7 stanici příkazem klist a ne na serveru.
Po zavolání kinit se ti pošle nový krbtgt ticket a uloží do lokální cache, ten pak vydíš tím klist příkazem.
Pokud si na tom linux serveru nakonfiguruješ SSH server tak, aby ověřoval pomocí kerberosu a v SSH klientu zapneš také kerberos ověření plus forward ticketu, tak pak po přihlášení na server ti klist ukáže ten forwardnutý klientský ticket. Pokud chceš používat Putty, tak aby fungoval forward Kerberos ticketu, tak musíš používat MIT Kerberos a ne Microsoft SSPI pod Win7. Takže nainstalovat do Win stanice ještě toto: http://web.mit.edu/kerberos/dist/#kfw-4.0
Identity manager od MITu si umí vytahat přidělené tickety do systému a použít je pak transparentně přes MIT knihovny.
-
díky
a je vůbec možné vylistovat na straně kerberos serveru jaké tickety vydal?
-
Kerberos server si pro správnou funkci a následné ověřování nepotřebuje pamatovat vydané tickety (a to ani session key pro TGT ticket), vše potřebné vždy dostane jako obsah žádosti/ticketu, takže je nevylistuješ. Leda pokud se zapne nějaké důkladnější logování, tak pak možná bude zapisovat do logu, co aktuálně komu vydal. MIT Kerberos server to uměl, Samba4 asi bude také, ale neměl jsem potřebu zatím po tom pátrat. :-)
-
díky za objasnění