kerberos auth / trusted domain

Linux-haladó

Sziasztok,

A következő problémában kérem a segítségeteket:

LD(local domain) <-mutual forrest trust-> RD(remote domain) - SUB.RD

Linux alól:
kinit user1 @LD - sikeres
kinit user2 @SUB.RD - hiba: Realm not local to KDC while getting initial credentials

krb5.conf: 


[realms]
  LD = {
    kdc = ldc.ld
    admin_server = ldc.ld
  }
  RD = {
    kdc = ldc.ld
    admin_server = ldc.ld
  }
[capaths]
  LD = {
    RD = .
    SUB.RD = RD
  }
  RD = {
    LD = .
  }
  SUB.RD = {
    LD = RD
  }

Ha az RD realm-ben, kdc/admin_server=rdc.sub.rd és nincs capaths akkor megy szépen, de ilyenkor a másik domain-nel beszél a linux szerver közvetlenül.

Megoldható ez úgy, hogy a linux csak a local dc-hez beszéljen minden esetben és a trust-on keresztül menjen a távoli domain auth?
Tippem, hogy a capaths körül van valami gond.

Fefe

  • 1602 megtekintés

( fefe | 2012. 02. 02., cs – 14:59 )

Valakinek sikerült hasonló felállásban ezt működésre bírnia? A leírások, amiket találtam csak részelteiben tárgyalják a capaths opciót, de nincs egy teljes működő konfig, szóval nem egészen világos, hogy fel kell-e sorolnom pl a távoli domaint, a realm szekcióban.

( fefe | 2012. 02. 03., p – 12:18 )

Utolsó próbálkozás, hátha erre néz valaki, akinek sikerült hasonló felállást működésre bírnia.
Annyira jutottam, hogy ha a távoli domain szerepel a realm listában, akkor vagy azt mondja nem találja a KDC-t, vagy azt hogy a nem helyi domain a KDC szerint. Szerintem ez lehet a jó felállás, de a capaths-t nem tudom úgy belőni, hogy továbbított kérésként menjen.

Packet capture szerint egy helyi sikeres kérésben ez van amikor működik:
Forwardable, Not forwarded, Proxiable, Not proxied
Client name (Principal): user1
Server name (Unknown): krbtgt/LD

És ez van amikor nem működik a távoli domain auth:
Forwardable, Not forwarded, Proxiable, Not proxied
Client name (Principal): user2
Server name (Unknown): krbtgt/SUB.RD
.. error_code: KDC_ERR_WRONG_REALM (68)

És itt lehet a gond, mert a helyes kérésnek valahogy így kéne kinéznie szerintem:
krbtgt/SUB.RD@RD@LD

Ha nem szerepel a realm a krb5.conf-ban, akkor nem is hagyja el kerberos kérés a gépet a tcpdump szerint, a kinit helyben visszadobja a hibát.