У меня есть сервер CentOS 6, который был соединен с Active Directory с помощью Samba и net ads join -k
.
Это таким образом имеет keytab как это:
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
1 host/myhost.ad.example.com@AD.EXAMPLE.COM
1 host/myhost.ad.example.com@AD.EXAMPLE.COM
1 host/myhost.ad.example.com@AD.EXAMPLE.COM
1 host/myhost.ad.example.com@AD.EXAMPLE.COM
1 host/myhost.ad.example.com@AD.EXAMPLE.COM
1 host/MYHOST@AD.EXAMPLE.COM
1 host/MYHOST@AD.EXAMPLE.COM
1 host/MYHOST@AD.EXAMPLE.COM
1 host/MYHOST@AD.EXAMPLE.COM
1 host/MYHOST@AD.EXAMPLE.COM
1 MYHOST$@AD.EXAMPLE.COM
1 MYHOST$@AD.EXAMPLE.COM
1 MYHOST$@AD.EXAMPLE.COM
1 MYHOST$@AD.EXAMPLE.COM
1 MYHOST$@AD.EXAMPLE.COM
Используя OpenSSH и pam_krb5, я могу также пройти проверку подлинности с GSSAPI, когда обратным поиском DNS является myhost.ad.example.com.Пока все хорошо.
Теперь, вещь состоит в том, что по различным причинам я хотел бы, чтобы обратным поиском DNS за сервер был myhost.example.org. Это даже возможно?
"host/myhost.example.org@AD.EXAMPLE.COM" должен быть совершенно допустимым принципалом Kerberos, но если я пытаюсь добавить myhost.example.org как услуга основное имя в Active Directory, net ads join -k
сбои с "неудавшимся для установки машины spn: Ограничительное нарушение".
Если я пытаюсь добавить записи PTR и для myhost.ad.example.com и для myhost.example.org, я получаю интересное поведение, что я могу войти в систему с любой попыткой GSSAPI.
http://web.mit.edu/kerberos/krb5-1.13/doc/admin/princ_dns.html имеет много предложений. Я попытался добавить "rdns = ложь" (krb5.conf) на клиенте, и "ignore_acceptor_hostname = верный" (krb5.conf) и "GSSAPIStrictAcceptorCheck не" (sshd_config) на сервере. Это, кажется, не имеет значения вообще.
Это проблема сопоставления областей. Скорее всего, ваши хосты вообще не привязаны к области.
Используйте либо /etc/krb5.conf
[domain_realm]
.example.com = AD.EXAMPLE.COM
, либо, лучше, эквивалент DNS
_kerberos.example.com IN TXT AD.EXAMPLE.COM