Wir haben hauptsächlich Linux-Benutzer, die sich über Kerberos anmelden. Aber wir haben auch ein paar (< 50) Benutzer, die sowohl Linux als auch Windows verwenden. Dies soll in Zukunft wachsen. Wir möchten unsere Benutzerdatenbank auf der Unix/Kerberos-Seite behalten.Verwenden von Kerberos als Kontendomäne für Windows AD-Domäne
Aber aus irgendeinem Grund, der mir entgeht, kann ich es noch nicht zum Laufen bringen.
Ich habe die folgenden nachdem einige Führer (Domänen anonymisierten) Lesen:
1) die ADDC hinzufügen auf dem Linux-KDC /etc/krb5.conf und Linux-Hosts
AD.DOMAIN = {
kdc = PDC.AD.DOMAIN
admin_server = PDC.AD.DOMAIN
default_domain = ad.domain
}
2) hinzufügen Quer Reich Principals auf der Seite Linux
addprinc -pw <longPW> -requires_preauth [email protected]
addprinc -pw <longPW> -requires_preauth krbtgt/[email protected]
addprinc -pw <longPW> -requires_preauth krbtgt/[email protected]
3) Reich Info über ksetup auf Windows ADDC und anderen Windows-Rechner hinzufügen
ksetup
default realm = ad.domain (NT Domain)
LINUX.REALM:
kdc = kdc.linux.realm
kpasswd = kdc.linux.realm
Realm Flags = 0x0No Realm Flags
Mapping all users (*) to a local account by the same name (*).
4) In Two-Way Vertrauen auf Windows-Seite über
netdom trust /d:LINUX.REALM ad /add /PT:longPW /realm /twoway
Check liefert
nltest /TRUSTED_DOMAINS
List of domain trusts:
0: LINUX.REALM (MIT) (Direct Outbound) (Direct Inbound) (Attr: non-trans)
1: AD ad.domain (NT 5) (Forest Tree Root) (Primary Domain) (Native)
The command completed successfully
Aber auch
netdom trust lst /d:LINUX.REALM /verify /KERBEROS /twoway
The command failed to complete successfully.
5) In Zuordnung zu den Benutzern
altSecurityIdentities for user ad\test shows kerberos: [email protected]
kann ich mit Anzeige \ test anmelden (was nicht, was ich will), aber ich kann nicht Anmeldung als [email protected] was, was ich wollte
Auf der anderen Seite:
kinit [email protected]
Password for [email protected]:
[email protected]:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: [email protected]
Valid starting Expires Service principal
21/07/2017 13:24 21/07/2017 23:24 krbtgt/[email protected]
renew until 22/07/2017 13:24
Mein Problem: Ich kann nicht auf der Windows-Seite mit Principals [email protected] anmelden. Wie im Thema geschrieben, möchten wir, dass das Linux-Realm die Kontodomäne ist, nicht die AD, die auch möglich sein sollte, oder? Wir wollen nur die Kontoerstellung, das Löschen usw. im Linux-Realm bearbeiten und sich die Windows-Benutzer mit ihrem Linux-Account/Passwort einloggen.
Was fehlt mir?
Statt scheinbar bereichsübergreifende Authentifizierung (das ist es, was es erscheint), warum haben * * alle * Linux-Clients nicht nur auf AD für die Kerberos-Authentifizierung verwiesen? Linux kann AD mit dem Centrify-Client verbinden. Dann verwalten Sie nur einen Verzeichnisdienst. –
@JohnRSmith >> Linux kann auch AD mit roher SSSD-Konfiguration beitreten, wenn Sie nicht in Centrify-Lizenzen (oder in Lizenzen von Mitbewerbern) investieren möchten.Aber nachdem ich gesehen habe, wie die "notPetya" -Malware die AD-Infrastruktur eines multinationalen Unternehmens (zusammen mit 50.000 Desktops/Laptops) zerstören kann, rate ich jedem, sich zweimal zu überlegen, bevor er eine Windows-basierte Technologie für die zentrale Authentifizierung einsetzt. –
@JohnRSmith Ich denke, dass die Migration von mehr als 400 Benutzerkonten und Diensten zu AD weniger trivial sein kann. Zusätzlich gelten die Lizenzkosten für noch mehr Server sowie die Sicherheitsbedenken. Als letzter Punkt haben wir hier mehr Linux als Windows-Kenntnisse, so dass die Migration auf eine Windows-Infrastruktur schädlich sein kann. Noch immer vielen Dank für Ihren Kommentar. Ich habe es mir vorher angeschaut und wir hatten darüber diskutiert. – Kestrel