ActiveDirectory Kerberos Keytab unter Linux unbrauchbar

Ich konfiguriere die Kerberos-Authentifizierung für das vollständig in Java implementierte Alfresco CIFS-Protokoll (JLAN-Projekt). Das ist nicht das erste Mal, dass ich es in einem einzigen Schuss richtig eingerichtet habe.

Im selben Netzwerk habe ich mit einem ActiveDirectory Windows 2008R2 und demselben Verfahren das Setup für zwei Umgebungen bereits erfolgreich durchgeführt, aber die Produktionsumgebung bereitet mir Probleme.

Das Produktions-Keytab wurde von ktpasson ActiveDirectory mit RC4-HMAC wie für andere Umgebungen generiert . Das Konto AlfrescoCifsPist für die Produktion und nur für diesen Service bestimmt:

ktpass -princ cifs/myserver.mydomain.com@MYDOMAIN.COM
       -mapuser MYDOMAIN\AlfrescoCifsP -pass <password>
       -crypto RC4-HMAC-NT -ptype KRB5_NT_PRINCIPAL -out c:\temp\prod.keytab

Jetzt versuche ich, es auf RedHat 5.8 mit MIT Kerberos-Bibliotheken und -Dienstprogrammen in Version 1.6.1-70-el4 zu verwenden, und es wurde der folgende Fehler angezeigt :

$ kinit -k -t prod.keytab cifs/myserver.mydomain.com
kinit(v5): Key table entry not found while getting initial credentials

Folgendes habe ich (oft) überprüft:

• Mein krb5.confist OK, wenn der Standardbereich festgelegt ist
• Ich kann offen prod.keytabmit ktutilund schreiben Sie den Steckplatz fürcifs/myserver.mydomain.com
• Ich kann mich mit Passwort und Befehl authentifizieren kinit cifs/myserver.mydomain.com
• kvno cifs/myserver.mydomain.com Gibt dieselbe Schlüsselnummer zurück wie aus dem Keytab-Eintrag
• Ich habe auch das ActiveDirectory-Konto gelöscht und mache das Zeug noch einmal. Immer noch das gleiche Ergebnis.

Es wurde also alles getan, um erfolgreich zu sein. Es war erfolgreich für zwei Dienstkonten und schlug für das dritte fehl. Der einzige Unterschied kann die SPN-Länge sein, die etwas länger als bei anderen ist, aber weit unter der SPN-Grenze von 260 Zeichen.

Ich habe den Befehl verschobenkinit -k -t prod.keytab cifs/... und habe gerade den Lesevorgang für die Keytab-Datei und direkt hinter der Ausgabe der Fehlermeldung an stderr gesehen.

Gibt es ein bekanntes Problem, das zu meinen Problemen in einer ähnlichen Umgebung passt?

Wie kann die Ursache dieses Problems diagnostiziert werden?

Was können die Hauptgründe für einen solchen Fehler sein?

Was soll ich versuchen, um einen Ausweg zu finden?

Dank einer Netzwerkerfassung fand der Administrator meines Kunden ein von Novell dokumentiertes Übereinstimmungsproblem: http://www.novell.com/support/viewContent.do?externalId=7005039&sliceId=1

Ich habe die folgenden Zeilen hinzugefügt, krb5.confum das Problem mit Kerberos 1.6.1-Bibliotheken zu umgehen:

 default_tkt_enctypes = rc4-hmac
 default_tgs_enctypes = rc4-hmac

Meiner Meinung nach sind diese Zeilen für neuere MIT Kerberos-Bibliotheken nicht erforderlich.

Zunächst sollten Sie überprüfen, ob auf Ihrem Computer, auf dem mit SPN referenzierte Dienste ausgeführt werden, eine Vertrauensbeziehung zum Domänencontroller besteht (Domänennetzwerk in "Open Network and Sharing Center"). Sobald OK, generieren Sie das Ticket erneut und führen Sie kinit wie folgt aus:

kinit -k -t prod.keytab cifs/myserver.mydomain.com@MYDOMAIN.COM

Fazit: Ihnen fehlt das REALM (@ MYDOMAIN.COM)

HINWEIS: GÜLTIG FÜR WINDOWS 2008 EE X64 R2