Eu tenho um computador Windows 10 ingressado no domínio tentando autenticar via kerberos para um cliente ipa (4.4.0) (centos 7.2), posso autenticar com usuário/senha e depois kinit, mas não consigo autenticar com os tíquetes kerberos na minha máquina .
ipaclients PODEM autenticar via kerberos para servidores Windows (winrm).
Layout example.org = domínio confiável com usuários example.com = domínio raiz para sistemas ad.example.com = domínio filho para sistemas ipa.example.com = domínio para FreeIPA
A autenticação para todos os domínios de [email protected] funciona, o kerberos para coisas como IIS Windows Authentication funciona como esperado, o Winrm funciona no Windows e no Linux usando o Kerberos. Ainda não testei o apache 401 com keytabs e usuários confiáveis.
debug1: Próximo método de autenticação: gssapi-with-mic debug1: Falha diversa (consulte o texto) incapaz de encontrar o domínio do host WIN10HOSTNAME
debug1: Falha diversa (ver texto) incapaz de encontrar o domínio do host WIN10HOSTNAME
debug2: não enviamos um pacote, desabilite o método
WIN10HOSTNAME = nome do host
Eu tentei o MIT Kerberos e também tentei definir o reino padrão no arquivo krb5.ini (windows). Não tenho certeza de como definir o reino padrão.
Cliente Windows 10 (mingw64)
ssh -V
OpenSSH_7.1p2, OpenSSL 1.0.2h 3 de maio de 2016
klist
Current LogonId is 0:0x3a258
Cached Tickets: (4)
1 Client: jevans @ EXAMPLE.ORG
Server: krbtgt/AD.EXAMPLE.ORG @ EXAMPLE.COM
KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
Ticket Flags 0x40a50000 -forwardable renewable pre_authent ok_as_delegate name_canonicalize
Start Time: 1/26/2017 8:26:58 (local)
End Time: 1/26/2017 18:25:47 (local)
Renew Time: 1/26/2017 18:25:47 (local)
Session Key Type: RSADSI RC4-HMAC(NT)
Cache Flags: 0
Kdc Called: DC01.example.com
1 Client: jevans @ EXAMPLE.ORG
Server: krbtgt/EXAMPLE.COM @ EXAMPLE.ORG
KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
Ticket Flags 0x40a50000 -forwardable renewable pre_authent ok_as_delegate name_canonicalize
Start Time: 1/26/2017 8:26:58 (local)
End Time: 1/26/2017 18:25:47 (local)
Renew Time: 1/26/2017 18:25:47 (local)
Session Key Type: RSADSI RC4-HMAC(NT)
Cache Flags: 0
Kdc Called: DC01.example.org
2 Client: jevans @ EXAMPLE.ORG
Server: krbtgt/EXAMPLE.ORG @ EXAMPLE.ORG
KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
Ticket Flags 0x40e10000 -forwardable renewable initial pre_authent name_canonicalize
Start Time: 1/26/2017 8:25:47 (local)
End Time: 1/26/2017 18:25:47 (local)
Renew Time: 1/26/2017 18:25:47 (local)
Session Key Type: AES-256-CTS-HMAC-SHA1-96
Cache Flags: 0x1 -PRIMARY
Kdc Called: DC01.example.org
3 Client: jevans @ EXAMPLE.ORG
Server: ldap/AD-DC01.AD.EXAMPLE.ORG/AD.EXAMPLE.ORG @ AD.EXAMPLE.ORG
KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
Ticket Flags 0x40a50000 -forwardable renewable pre_authent ok_as_delegate name_canonicalize
Start Time: 1/26/2017 8:26:58 (local)
End Time: 1/26/2017 18:25:47 (local)
Renew Time: 1/26/2017 18:25:47 (local)
Session Key Type: AES-256-CTS-HMAC-SHA1-96
Cache Flags: 0
Kdc Called: AD-DC01.ad.example.com
Linux Endpoint
ktutils , então read_kt /etc/krb5.keytab, entãolist
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
1 1 host/[email protected]
2 1 host/[email protected]
3 1 host/[email protected]
4 1 host/[email protected]
5 1 host/[email protected]
6 1 host/[email protected]
7 1 host/[email protected]
8 1 host/[email protected]
9 1 host/[email protected]
10 1 host/[email protected]
11 1 host/[email protected]
12 1 host/[email protected]
Funcionou destruindo mingw64 para cygwin .
mingw64 é claramente para minimalistas e está faltando os pacotes Kerberos necessários (entre muitos outros grandes pacotes)
Consegui fazer com que o cygwin fizesse não apenas a autenticação Kerberos, mas também as chaves do agente SSH