Аутентификация Kerberos, сервисный хост и доступ к KDC
Трудно для сообщения без большей информации, но многих клиентов VPN имеют противную привычку к (логически) deconnecting их главный компьютер от LAN при установке соединения VPN. Т.е. Вы можете быть подключены или к своей LAN, или к VPN, но не обоим.
Если бы Ваш клиент VPN делает это, очевидно, Ваша сессия RDP была бы уничтожена как побочный эффект отключения Вас от LAN.
Я не уверен, почему клиенты VPN делают это, является ли это намеренной мерой (безопасность?) или просто побочный эффект реконфигурирования сети, но я часто встречался с ним.
Проверьте руководство на детали, и на то, как зафиксировать это.
Служба никогда не должна взаимодействовать с KDC . Требуется keytab , сгенерированный KDC , но вы можете скопировать его любым удобным для вас способом. Им никогда не приходится разговаривать друг с другом.
Чрезмерно упрощенная версия того, что, как я считаю, происходит примерно так:
Настройка службы
- KDC создает службу keytab (что-то вроде секретного ключа / пароля, если хотите)
- эта keytab каким-то образом предоставляется службе (
scpили переносится на USB-накопитель, если вы хотите)
Клиент, подключающийся к службе
- клиент запрашивает сервисный билет из KDC
- KDC создает службу билет , который содержит некоторую информацию, которая может быть расшифрована только службой keytab (это файл, который находится на вашем сервере)
- клиент отправляет свой билет службы в служба
- служба использует свою keytab для проверки билета (подключение к сети не требуется)