Author Topic: kerberos AD win serv 2003r2  (Read 1069 times)

AxetNord

  • Zen Monk
  • **
  • Posts: 78
  • Karma: +1/-0
    • View Profile
kerberos AD win serv 2003r2
« on: October 22, 2014, 07:39:25 am »
Доброго времени суток.
Не могу настроить аутентификацию пользователей домена на зентале. Встал на получении билетов kerberos.
Проделано:
Зентал введён в домен как контроллер АД. На win сервере он прописался в АД. Зентал получил из ада списки пользователей. На винде подняты службы NIS группы и пользователи получили записи UNIX Authentication.
Изменения внесённые в конфиг зентала
krb5.conf
Quote
[libdefaults]
    default_realm = DOMAIN.RU
    dns_lookup_kdc = true
    dns_lookup_realm = false
    rdns = no
    ticket_lifetime = 24000
    clockskew = 500
[logging]
    default = FILE:/var/log/krb5.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmin.log
[realms]
    DOMAIN.RU = {
    kdc = SERVER.DOMAIN.RU:88
    admin_server = SERVER.DOMAIN.RU
    defaul_domain = DOMAIN.RU
                }
[domain_realms]
    .domain.ru = DOMAIN.RU
При попытке получить билет посредством kinit получаю такой ответ:
Quote
root@server2:~# kinit admin@domain.ru
admin@domain.ru's Password:
kinit: Password incorrect
Не могу понять в чем проблема.
При попытке гуглить, народ предлагает ставить пакеты, которые конфликтуют с zentyal-samba. Так что копать надо именно в стороне Зентала.
« Last Edit: October 22, 2014, 02:02:47 pm by AxetNord »

bubnov-pi

  • Zen Samurai
  • ****
  • Posts: 425
  • Karma: +27/-0
    • View Profile
Re: kerberos AD win serv 2003r2
« Reply #1 on: October 22, 2014, 11:36:15 am »
В конфиге допущена опечатка при копировании или при создании?
NOVOHOLOD.RU {...
...DOMAIN.RU
}

AxetNord

  • Zen Monk
  • **
  • Posts: 78
  • Karma: +1/-0
    • View Profile
Re: kerberos AD win serv 2003r2
« Reply #2 on: October 22, 2014, 02:03:40 pm »
это при копировании. тупо чтоб домен лишний раз где попало не светился.

bubnov-pi

  • Zen Samurai
  • ****
  • Posts: 425
  • Karma: +27/-0
    • View Profile
Re: kerberos AD win serv 2003r2
« Reply #3 on: October 22, 2014, 02:19:27 pm »
К стати, а в DNS все необходимые записи присутствуют?
Пример правильных записей привести не готов, но по памяти, там должны быть какие-то srv для kerberos и ещё что-то...

AxetNord

  • Zen Monk
  • **
  • Posts: 78
  • Karma: +1/-0
    • View Profile
Re: kerberos AD win serv 2003r2
« Reply #4 on: October 23, 2014, 08:25:38 am »
система сама накидала не удаляемых записей для server2, я написал для server. Не помогло
Quote
kerberos                   TCP    100    100    88    server2    
kerberos                    UDP    100    100    88    server2    
kerberos-master         TCP    100    100    88    server2    
kerberos-master         UDP    100    100    88    server2    
kpasswd                    TCP    100    100    464    server2    
kpasswd                  UDP    100    100    464    server2    
kerberos                 TCP    100    100    88    server    
kerberos                 UDP    100    100    88    server    
kerberos-master         TCP    100    100    88    server    
kerberos-master         UDP    100    100    88    server
kpasswd                    TCP    100    100    464    server    
kpasswd                    UDP    100    100    464    server