2012-06-07 15 views
5

로그인 할 때 KFS에서 AFS 토큰과 Kerberos TGT를 가져 오기 위해 pGina 플러그인을 쓰고 있는데, 필자는 kinit의 '기능'을 제공하면서 사용자가 키보드에서 입력하지 않으면 표준 입력을 리다이렉트한다는 아이디어가 나왔습니다 ...Windows에서 kinit과 함께 사용할 키탭 만들기

누구나 내가 쉽게 kutil을 리눅스에서만 사용한다는 것을 알게 될 때까지는 매우 쉽게 보였던 교장을 위해 keytab 파일을 사용하도록 제안했습니다. ktpass.exe 인 Windows 버전에 어려움을 겪고 있습니다. 나는 키 탭을 생성 인자의 조합의 많은 수의 반복 시도했지만 지금까지 전혀 성공, 내가 발행하고 현재 명령이 없었습니다 :

ktpass /out key.tab /mapuser [email protected] /princ [email protected] /crypto RC4-HMAC-NT /ptype KRB5_NT_PRINCIPAL /pass mahpasswordlol /target MERP.EDU

불행하게도이 출력 모든

입니다

Using legacy password setting method

FAIL: ldap_bind_s failed: 0x31 내 연구에 따라 인증/암호화 문제입니다

, 나는 다른 D 그것을 시도 ES 설정이지만이 또한 작동하지 않는 것 같습니다 ... 아무도 이것이 작동하는 방법에 대한 경험/아이디어가 있습니까?

+0

DES는 Windows 2008 R2 Active Directory 이상에서는 기본적으로 사용되지 않습니다. 이 특정 프론트에 문제가되었을 수도 있습니다. –

답변

8

ktpass.exe는 실제로 끔찍합니다. 나는 그것을 사용하지 않는다. 대신에, 단지 일치하는 독립적 LDAP 바인드 오류가 ktpass에서는이 도메인 컨트롤러를 인증 할 수 없음을 나타냅니다

$ ktutil 
ktutil: addent -password -p [email protected] -k 1 -e aes128-cts-hmac-sha1-96 
Password for [email protected]: 
ktutil: l 
slot KVNO Principal 
---- ---- --------------------------------------------------------------------- 
    1 1         [email protected] 
ktutil: wkt /tmp/zz 
$ klist -ek /tmp/zz 
Keytab name: WRFILE:/tmp/zz 
KVNO Principal 
---- -------------------------------------------------------------------------- 
    1 [email protected] (aes128-cts-hmac-sha1-96) 

암호를, 예컨대 : 사용 키 탭 만들기 위해 유닉스에 ktutil은 사용; 이 경우 도메인 계정에 로그인 했습니까? 로컬 계정이 아니라 도메인 계정이어야합니다 (AD에 필요한 변경 작업을 수행 할 권한이 있어야합니다. 단, 바인딩이 아니라 권한 오류가 발생하는 것은 아닙니다).

FWIW, 우리는 우리의 유닉스 영역과 AD 영역 사이에서 교차 영역 트러스트를 사용합니다. 사용자가 로그인 할 때 얻는 AD TGT는 Unix 영역의 서비스에 대한 자격 증명을 획득하기에 충분합니다. 예를 들어 유닉스 웹 서비스 (Apache/mod_auth_kerb) 인증을 위해 유닉스 호스트, 파이어 폭스/크롬/IE 등으로 PuTTY를 사용할 수 있습니다.

+0

크로스 트러스트를 사용할 때 UNIX 및 WINDOWS DNS 이름을 겹치게합니까? 아니면 UNIX 호스트를 묶는 하위 도메인을 설정 했습니까? –

+1

우리는 중복됩니다. 즉, 두 영역에서 호스트의 이름을 구별 할 수있는 간단한 규칙은 없습니다. 그러나 가능한 경우 중복되지 않는 도메인을 각각 사용하는 것이 좋습니다. * .WIN.FOO.COM 및 * .UNIX.FOO.COM; 우리의 혼합 된 설정은 지금 변경할 수없는 레거시 인프라의 결과입니다. 혼합 된 설정은 모든 티켓 요청이 올바른 위치에 도착하도록 보장하기 위해 양측에 참조 및/또는 정적 도메인/영역 구성의 형태로 상당한 양의 복잡성이 필요합니다. 최근에 새로운 배포판에서 다른 도메인을 사용하여 모든 것을 피했습니다. –