Проверка подлинности Kerberos в смешанной среде (Windows и LINUX)
Мне нужно сопоставить имя участника службы для пользователя в Active Directory из среды Linux, где находится мой KDC, с Windows.
Есть ли способ сопоставить пользователя AD из Linux, а не сопоставить его с помощью setSPN в среде Windows?
Попытка решения:
Настроил Krb5-conf на машине Linux и установил krb5-usr как клиент на машине Linux.
При выполнении команды на добавление основного имени для пользователя, использующего пользователя с правами администратора, я получаю следующую ошибку:
testuser@linux106:~$ kadmin -p adminuser/admin@TEST.COM -q "addprinc user1/admin@TEST.COM"
Authenticating as principal adminuser/admin@TEST.COM with password.
kadmin: Client not found in Kerberos database while initializing kadmin interface
Пожалуйста, введите данные для достижения этой цели или сообщите мне, если я неправильно понял.
Клиент, не найденный в базе данных Kerberos при инициализации интерфейса kadmin означает, что основной adminuser/admin@TEST.COM, с которым вы выполняете триальную аутентификацию, не существует.
Вы можете избежать аутентификации, выполнив kadmin. local на сервере KDC
$ sudo kadmin.local
Затем используйте listprincs, addprinc, delprinc ... для управления принципами баз данных Kerberos.
Есть ли способ отобразить пользователя AD из Linux?
Нет способа отобразить пользователя AD из linux, так как отображение AD_user <--> AD_principal имеет смысл только на AD-серверах. (*)
(*) Обратите внимание, что в базе данных Kerberos нет Kerberos_users, только Kerberos_principals. (Или Kerberos_user = Kerberos_principal, если вы предпочитаете, в любом случае вы не можете сопоставить принципы с пользователями)
.