Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    pfsanse kerberos

    Scheduled Pinned Locked Moved Russian
    5 Posts 3 Posters 587 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      kkera59
      last edited by

      Здравствуйте коллеги! Помогите разобраться. Настраиваю керберос в сквиде не могу получить тикет. Пишет kinit: Password incorrect
      Пароль верный ввожу

      Делал по мануалу
      https://journeyofthegeek.com/2017/12/30/pfsense-squid-kerberos/

      [libdefaults]
      default_realm = MYDOMEN.LOCAL
      dns_lookup_realm = false
      dns_lookup_kdc = true
      default_keytab_name = /etc/krb5.keytab
      default_tgs_enctypes = rc4-hmac des3-hmac-sha1
      default_tkt_enctypes = rc4-hmac des3-hmac-sha1

      [realms]
      MYDOMEN.LOCAL = {
      kdc = mydomen.local
      }

      [domain_realm]
      .mydomen.local = MYDOMEN.LOCAL
      mydomen.local = MYDOMEN.LOCAL

      [logging]
      kdc = FILE:/var/log/kdc.log
      Default = FILE:/var/log/krb5lib.log

      ktpass.exe /princ HTTP/GW.mylocal@MYDOMEN.LOCAL /mapuser pfsanse@MYDOMEN.LOCAL /crypto RC4-HMAC-NT /ptype KRB5_NT_PRINCIPAL /pass 12345 /out C:\GW_keytab

      Screenshot_7.jpg

      Screenshot_5.jpg

      Домен пингуется. Я получаю билет на любого пользователя домена. Но он не работает с моим кейтабом пишет неверный пароль

      werterW 1 Reply Last reply Reply Quote 0
      • werterW
        werter @kkera59
        last edited by werter

        Добрый
        @kkera59

        Пробуйте по аналогии с https://docs.microsoft.com/en-us/sql/linux/sql-server-linux-active-directory-auth-overview

        ktpass.exe /princ HTTP/GW.mylocal@MYDOMEN.LOCAL /mapuser pfsanse@MYDOMEN.LOCAL /crypto RC4-HMAC-NT /ptype KRB5_NT_PRINCIPAL /pass 12345 /out C:\GW_keytab

        MYDOMAIN.LOCAL ?
        pfsense ?

        GW.mylocal - имя машины с пф в сети? Переименуйте в GW.mydomain.local

        P 1 Reply Last reply Reply Quote 0
        • P
          pigbrother @werter
          last edited by

          @werter said in pfsanse kerberos:

          GW.mydomain.local

          Неплохая статья о наименовании доменов AD:
          Как не нужно называть домены Active Directory

          werterW 1 Reply Last reply Reply Quote 0
          • werterW
            werter @pigbrother
            last edited by werter

            @pigbrother

            Спасибо.
            Я в курсе )
            https://techgenix.com/active-directory-naming/
            https://serverfault.com/questions/76715/windows-active-directory-naming-best-practices

            Исходил из реалий ТС-а.

            Пользую или приставку corp. к реальному имени домена или что-то типа domain.internal, domain.int.
            Но в свете современных веяний можно с именем домена и не угадать (появится реальный домен с таким именем).

            P 1 Reply Last reply Reply Quote 0
            • P
              pigbrother @werter
              last edited by

              @werter said in pfsanse kerberos:

              появится реальный домен с таким именем)

              Да, в своё время появления такого TLD , как xyz, например, казалась бы невероятным.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.