Início / user-592994

Seeker's questions

Martin Hope
Seeker
Asked: 2023-11-25 02:06:34 +0800 CST
  • 6

Estou encontrando um problema com as entradas keytab que são criadas automaticamente quando ingresso um servidor Linux em um domínio do Active Directory. Primeiro, meu processo:

  1. Instale os pacotes Linux necessáriosyum install realmd pam sssd adcli oddjob oddjob-mkhomedir samba-common-tools krb5-workstation
  2. Crie o objeto Computador no Active Directory e adicione as entradas SPN relevantes (servicePrincipalName)
  3. Execute a junção de domínio comrealm join -v EXAMPLE.COM -U domainUser

Durante a associação, o processo cria automaticamente um arquivo krb5.keytab com entradas que correspondem diretamente às entradas SPN do objeto Computador. Portanto, se o SPN tiver uma entrada [email protected] , o processo de associação criará uma entrada keytab de [email protected] . O problema é que se o SPN tiver um tipo de serviço em letras maiúsculas incluído no nome, o processo de geração do keytab não respeitará o tipo de serviço, mas forçará a entrada do keytab a ter um tipo de serviço em letras minúsculas. Portanto, se o SPN for HTTP /Se [email protected] , o gerador keytab o forçará a ser http / [email protected], durante o processo de ingresso no domínio. Para que o aplicativo que estou usando funcione, eles precisam corresponder (ambos em letras maiúsculas).

Com meu objetivo de ter uma entrada keytab que corresponda ao SPN (tipo de serviço em maiúsculas), pelo que consigo imaginar, tenho duas opções

  1. Corrija o realm joinprocesso para manter o mesmo caso para o tipo de serviço ou
  2. Crie minha própria entrada keytab no arquivo keytab  

Estou tendo problemas com as duas opções. Para a primeira opção, não consigo encontrar nada no processo de adesão que possa ser alterado. Para a segunda opção, encontrei 2 aplicativos possíveis que poderia usar para criar minha própria entrada. Esses aplicativos são kadmin e ktutil. O kadmin me dá um erro de "principal KADM5 necessário ausente..." (do qual não consigo descobrir como consertar). E a opção ktutil funcionaria, exceto que exige que a mesma senha seja aplicada a esta nova entrada do keytab, que é usada pelas outras entradas do keytab; entretanto, essa senha é gerenciada pelo Active Directory e não pode ser obtida.

Alguém já passou por isso antes e tem uma solução sobre como manter o tipo de serviço de uma entrada keytab em maiúsculas?

Obrigado!

kerberos