Добрый день.
Может конечно и простой вопрос как настроить Kerberos аунтефикация в OpenBSD 4,но у меня как то не выходит.Поэтому прошу помощи
Ситуация такая.
Есть доиен на win2003.
настраиваю /etc/kerberosV/krb5.conf
[libdefaults]
default_realm = VLG
clockskew = 300
[realms]
VLGIXB = {
kdc = dc1.vlg.home.ru
admin_server = dc1.vlg.home.ru }
[domain_realm]
.vlg.home.ru = VLG
[kadmin]
default_keys = v5
[logging]
kadmind = FILE:/var/heimdal/kadmind.logподстраиваю время.Здесь похоже и есть проблема.
Как заставить OpenBSD перейти на летнее время?
Если UTC выставляю правильно,местное время на час убегает. и наоборот.
Но это так догадка.пишу
kinit sas
sas@VLG password:ввожу правильный пароль
kinit: Password incorrectСнял дамп трафа,Kerberos говорит PREAUTH_FAILED
>подстраиваю время.Здесь похоже и есть проблема.Время для kerberos'а критично, by default - 5 минут (кажется)
>пишу
>kinit sas
>sas@VLG password:ввожу правильный пароль
>kinit: Password incorrect
>
>Снял дамп трафа,Kerberos говорит PREAUTH_FAILEDPREAUTH_FAILED - в домене включена для пользователей, видимо. Можно и отключить... Эти вещи (время и требование PREAUTH) между собой не связаны, правда.
Вообще, там много разного интересного. Для общего понимания - рекомендовал бы книжку. "Живьем" и по-русски, правда, не видел.
http://forum.sysadmins.ru/11/155750/
>Добрый день.
>Может конечно и простой вопрос как настроить Kerberos аунтефикация в OpenBSD 4,но
>у меня как то не выходит.Поэтому прошу помощи
>Ситуация такая.
>Есть доиен на win2003.
>настраиваю /etc/kerberosV/krb5.conf
>[libdefaults]
> default_realm = VLG
> clockskew = 300
>[realms]
> VLGIXB = {
> kdc = dc1.vlg.home.ru
> admin_server = dc1.vlg.home.ru
>}
Ошибка? default_realm описан как VLG, а контроллер кербероса и административный сервер задан для realm-а VLGIXB.
>[domain_realm]
> .vlg.home.ru = VLG
>[kadmin]
> default_keys = v5
>[logging]
> kadmind = FILE:/var/heimdal/kadmind.log
>
>подстраиваю время.Здесь похоже и есть проблема.
>Как заставить OpenBSD перейти на летнее время?
>Если UTC выставляю правильно,местное время на час убегает. и наоборот.
>Но это так догадка.
>
Если бы из=за времени, то kinit так бы и написал "clock skew is larger than max(300)"
>пишу
>kinit sas
>sas@VLG password:ввожу правильный пароль
>kinit: Password incorrect
>
>Снял дамп трафа,Kerberos говорит PREAUTH_FAILEDВряд ли это как-то связано. Может быть не удается найти общий алгоритм шифрования на клиенте и сервере? В openbsd, я слышал, с шифрованием строго, может быть какие-то алгоритмы оттуда повыкидывали, как ненадежные?
>Вряд ли это как-то связано. Может быть не удается найти общий алгоритм
>шифрования на клиенте и сервере? В openbsd, я слышал, с шифрованием
>строго, может быть какие-то алгоритмы оттуда повыкидывали, как ненадежные?
Линукс (Heimdal-7.1) при аутентификации на AD соглашается на: "Ticket etype: arcfour-hmac-md5"
Поставил галочку
Без предварительной проверки подлинности Kerberos
но результат тот же
Incorrect passwordEthereal показывает что обмен идет,сообщение о ошибки pre_auth нет.
Вроде бы даже билет приходит
"Вроде бы" - или приходит?
Дебаг для kerberos (в AD) включен? Если нет - почему? Если да - что говорит?
Не помню точно, но, вроде бы, md5 AD не поддерживает. Если разрешить для клиента single-DES - тоже ошибка?
Если ты про ключ в
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Registry Value: LogLevel
Value Type: REG_DWORD
Value Data: 0x1
, то да
Ошибок связанных с моим запросом нет.
Разрешил только DES в AD
в конфе
default_tgs_enctypes = des-cbc-crc
default_tkt_enctypes = des-cbc-crc
Ты это имел в виду?
в также (((
password incorrectвот че показывает TCPDUMP
User Datagram Protocol, Src Port: 7453 (7453), Dst Port: kerberos (88)
Kerberos AS-REQ
Pvno: 5
MSG Type: AS-REQ (10)
KDC_REQ_BODY
Padding: 0
KDCOptions: 00800000 (Renewable)
Client Name (Principal): sas
Realm: имя_доиена
Server Name (Principal): krbtgt/имя_домена
till: 2007-04-19 15:13:11 (Z)
rtime: 2007-05-19 05:13:11 (Z)
Nonce: 3705528132
Encryption Types: des3-cbc-sha1 des3-cbc-sha rc4-hmac des-cbc-md5 des-cbc-md4 des-cbc-crc
Encryption type: des3-cbc-sha1 (16)
Encryption type: des3-cbc-sha (5)
Encryption type: rc4-hmac (23)
Encryption type: des-cbc-md5 (3)
Encryption type: des-cbc-md4 (2)
Encryption type: des-cbc-crc (1)
HostAddresses: адрес клиента
HostAddress адрес клиента
Addr-type: IPv4 (2)
IP Address: адрес клиента (адрес клиента)User Datagram Protocol, Src Port: kerberos (88), Dst Port: 7453 (7453)
Kerberos AS-REP
Pvno: 5
MSG Type: AS-REP (11)
padata: PA-PW-SALT
Type: PA-PW-SALT (3)
Value: 564F4C474F475241442E494D50455842...
Client Realm: VOLGOGRAD.IMPEXBANK.RU
Client Name (Principal): имя_клиента
Name-type: Principal (1)
Name: sas
Ticket
Tkt-vno: 5
Realm: доменное имя клиента
Server Name (Principal): krbtgt/домен
Name-type: Principal (1)
Name: krbtgt
Name: домен
enc-part rc4-hmac
Encryption type: rc4-hmac (23)
Kvno: 2
enc-part: B69F0FD54BF2FFBAE8F4D4AAD45B3FCF...
enc-part des-cbc-md5
Encryption type: des-cbc-md5 (3)
Kvno: 4
enc-part: 767D58C25A56D25E5B9D4DA0215D71D2...
1) ты ответил не на все заданные вопросы
2) klist (-v) что говорит?
3) может, все-таки "password incorrect"? Попробуй упростить (лишние символы, кодировку). У меня так было - задал как-то слишком длинную строку.
>1) ты ответил не на все заданные вопросы
>2) klist (-v) что говорит?
>3) может, все-таки "password incorrect"? Попробуй упростить (лишние символы, кодировку). У меня
>так было - задал как-то слишком длинную строку.
1)на какой?2)
klist: No ticket file: /tmp/krb5cc_03)да пароль сложный,но верный.
Но политика домена такая.че то я совсем в тупике.
Подскажите а поле ticket в ответе не говорит о том что билет пришел.
Все наконец-то.
Ура получилось.
Все просто до тошноты[libdefaults]
default_realm = VLG.HOME.RU
clockskew = 300
[realms]
VLG.HOME.RU= {
# Specify KDC here
kdc = DC1.VLG.HOME.RU
# Administration server, used for creating users etc.
admin_server = DC1.VLG.HOME.RU
}Огромное спасибо всем за помощь.Особенно Mikhail!