keytab auth against samba 4 DC: Cliente não encontrado no database Kerberos enquanto obteve cnetworkingnciais iniciais

Eu configurei um diretório ativo do samba 4 no ubuntu 14.04 seguindo o Samba AD DC HOWTO . Em princípio, tudo funciona bem, mas estou preso a fazer com que a authentication kerberos funcione usando SPNs paira aplicativos da web. Quando tento correr

kinit -k -t keytabfile http/myserview.mycompany.com 

Eu sempre pego um

 kinit: Client not found in Kerberos database while getting initial cnetworkingntials 

O que eu já viewifiquei até agora:

  • O DNS está trabalhando em ambos os lados paira trás e paira trás retornando FQNs
  • kinit funciona usando o nome de user
  • myserview.mycompany.com é retornado pelo nslookup em dc e no server web
  • myserview já se juntou ao domínio e está listdo em
    CN = Computadores, DC = mycompany, DC = com
  • não há SPNs dublicados

Eu criei a conta de service / SPNs / keytabs da seguinte maneira:

 samba-tool user create $ADS_USER $ADS_PW --userou=$USER_OU samba-tool user setexpiry --noexpiry $ADS_USER samba-tool spn add ${SERVICE_TYPE}/${SERVICE_HOST}.${MY_DOMAIN} $ADS_USER samba-tool spn add ${SERVICE_TYPE}/${SERVICE_HOST} $ADS_USER samba-tool spn list $ADS_USER rm -f $MY_KEYTAB samba-tool domain exportkeytab $MY_KEYTAB --principal=${SERVICE_TYPE}/${SERVICE_HOST}.${MY_DOMAIN} samba-tool domain exportkeytab $MY_KEYTAB --principal=${SERVICE_TYPE}/${SERVICE_HOST} 

Ao executair klist -k -e $ MY_KEYTAB tudo pairece ser bom:

 root@myhost:~# klist -ke ./test.keytab Keytab name: FILE:./test.keytab KVNO Principal ---- -------------------------------------------------------------------------- 1 http/myserview.mycompany.com@MYCOMPANY.COM (des-cbc-crc) 1 http/myserview.mycompany.com@MYCOMPANY.COM (des-cbc-md5) 1 http/myserview.mycompany.com@MYCOMPANY.COM (aircfour-hmac) 1 http/myserview@MYCOMPANY.COM (des-cbc-crc) 1 http/myserview@MYCOMPANY.COM (des-cbc-md5) 1 http/myserview@MYCOMPANY.COM (aircfour-hmac) 

Estou perdido, pesquisou várias horas no google e não tenho ideia de como trabalhair / corrigir o erro 'Cliente não encontrado no database Kerberos'. Qualquer dica é bem-vinda!

obrigado

meu "/etc/krb5.conf" no cliente

 [libdefaults] debug = true default_realm = MYCOMPANY.COM dns_lookup_realm = false dns_lookup_kdc = false default_tkt_enctypes = rc4-hmac default_tgs_enctypes = rc4-hmac [realms] MYCOMPANY.COM = { kdc = dc01.mycompany.com admin_serview = dc01.mycompany.com kpasswd_serview = dc01.mycompany.com #ktpasswd_serview = dc01.mycompany.com #admin_serview = dc01.mycompany.com } [domain_realm] .mycompany.com = MYCOMPANY.COM mycompany.com = MYCOMPANY.COM 

no server dc /etc/samba/smb.conf

 [global] debug level = 1 syslog = 1 max log size = 0 workgroup = MYCOMPANY realm = MYCOMPANY.COM netbios name = DC01 serview role = active directory domain controller serview string = MYCOMPANY domain controller serview role check:inhibit = yes dns forwairder = 192.168.22.1 idmap_ldb:use rfc2307 = yes 

2 Solutions collect form web for “keytab auth against samba 4 DC: Cliente não encontrado no database Kerberos enquanto obteve cnetworkingnciais iniciais”

Finalmente – entendi!

o

 samba-tool spn add ... 

não (re) nomeair o UPN como esperado no diretório. Achei isso compairando com as inputs do MS ADS. Então, o trabalho em torno é mudair o valor manualmente antes de emitir o command exportkeytab:

  • Abra a input do user do service com uma ferramenta ldap (usei o Apache Directory Studio) e
  • find o user criado apenas Edite "userPrincipalName" paira refletir servicePrincipleName + REALM (no meu caso http/myserview.mycompany.com@MYCOMPANY.COM)
  • Exportair Keytab e tudo funciona como esperado

na máquina alvo

 kinit -k -t http/myserview.mycompany.com 

funciona sem qualquer queixa! Espero que isso ajude outros a tentair configurair o SSO com o Samba4 …

Inicialmente, recebi abaixo erro no ambiente Redhat Linux.

kinit: Cliente não encontrado no database Kerberos enquanto obteve cnetworkingnciais iniciais

Enquanto eu tentei com a conta de service abaixo registrada com o F_KEY

 $ kinit HOST/domainname.no@HOSTNAME.NET 

E isso me levou a fornecer a senha e funcionou!

Eu sou capaz de gerair o file de cache de cnetworkingnciais 'krb5cc_0' em / tmp pasta no server.

Posso listr todos os detalhes usando o command 'klist' sobre o TGT temporário.

  1. Começo válido
  2. Expira
  3. Diretor de service
  • Recomendações de especificações do server
  • Como faço paira pairair o Ubuntu de começair os daemons que eu não pedi explicitamente paira executair?
  • Grandes files de registro de cidadela
  • Execute o script na mensagem de e-mail recebida paira o postfix
  • Como faço paira configurair vários IPs em um server Ubuntu com duas portas Ethernet?
  • No ubuntu, qual process está enviando packages igmp?
  • Maneira efetiva de gairantir o "sistema de airdósia limpo" paira o service de continuous integration
  • Atualize o package de mairionetes do Ubuntu no process kickstairt
  • Um VPS precisa de um firewall?
  • Acesse o service web da networking externa
  • Alguém está usando KVM em produção?