pfsanse kerberos
-
Здравствуйте коллеги! Помогите разобраться. Настраиваю керберос в сквиде не могу получить тикет. Пишет kinit: Password incorrect
Пароль верный ввожуДелал по мануалу
https://journeyofthegeek.com/2017/12/30/pfsense-squid-kerberos/[libdefaults]
default_realm = MYDOMEN.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = true
default_keytab_name = /etc/krb5.keytab
default_tgs_enctypes = rc4-hmac des3-hmac-sha1
default_tkt_enctypes = rc4-hmac des3-hmac-sha1[realms]
MYDOMEN.LOCAL = {
kdc = mydomen.local
}[domain_realm]
.mydomen.local = MYDOMEN.LOCAL
mydomen.local = MYDOMEN.LOCAL[logging]
kdc = FILE:/var/log/kdc.log
Default = FILE:/var/log/krb5lib.logktpass.exe /princ HTTP/GW.mylocal@MYDOMEN.LOCAL /mapuser pfsanse@MYDOMEN.LOCAL /crypto RC4-HMAC-NT /ptype KRB5_NT_PRINCIPAL /pass 12345 /out C:\GW_keytab
Домен пингуется. Я получаю билет на любого пользователя домена. Но он не работает с моим кейтабом пишет неверный пароль
-
Добрый
@kkera59Пробуйте по аналогии с https://docs.microsoft.com/en-us/sql/linux/sql-server-linux-active-directory-auth-overview
ktpass.exe /princ HTTP/GW.mylocal@MYDOMEN.LOCAL /mapuser pfsanse@MYDOMEN.LOCAL /crypto RC4-HMAC-NT /ptype KRB5_NT_PRINCIPAL /pass 12345 /out C:\GW_keytab
MYDOMAIN.LOCAL ?
pfsense ?GW.mylocal - имя машины с пф в сети? Переименуйте в GW.mydomain.local
-
@werter said in pfsanse kerberos:
GW.mydomain.local
Неплохая статья о наименовании доменов AD:
Как не нужно называть домены Active Directory -
Спасибо.
Я в курсе )
https://techgenix.com/active-directory-naming/
https://serverfault.com/questions/76715/windows-active-directory-naming-best-practicesИсходил из реалий ТС-а.
Пользую или приставку corp. к реальному имени домена или что-то типа domain.internal, domain.int.
Но в свете современных веяний можно с именем домена и не угадать (появится реальный домен с таким именем). -
@werter said in pfsanse kerberos:
появится реальный домен с таким именем)
Да, в своё время появления такого TLD , как xyz, например, казалась бы невероятным.