web-dev-qa-db-ja.com

Linux KDCレルム用のWindows 10クライアントのセットアップ

KDCサーバーをセットアップし、レルム_EXAMPLE.COM_を作成しました。ここに私のkrb5.confファイルがあります:

_[libdefaults]
  renew_lifetime = 7d
  forwardable = true
  default_realm = EXAMPLE.COM
  ticket_lifetime = 24h
  dns_lookup_realm = false
  dns_lookup_kdc = false
  default_ccache_name = /tmp/krb5cc_%{uid}
  #default_tgs_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5
  #default_tkt_enctypes = aes des3-cbc-sha1 rc4 des-cbc-md5

[logging]
  default = FILE:/var/log/krb5kdc.log
  admin_server = FILE:/var/log/kadmind.log
  kdc = FILE:/var/log/krb5kdc.log

[realms]
  EXAMPLE.COM = {
    admin_server = my.linux-server.de
    kdc = my.linux-server.de
  }
_

_kadmin.local_を介して、ユーザーtestuserとパスワードabcを追加しました。

_kadmin.local:  addprinc [email protected]
_

Ubuntu VMに正常にログインできます。

_[root@ubuntu-vm ~]# kinit testuser
Password for [email protected]:
_

次に、klistは次を示します:

_[root@ubuntu-vm ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: [email protected]

Valid starting       Expires              Service principal
01.12.2016 14:58:40  02.12.2016 14:58:40  krbtgt/[email protected]
_

kererized Hadoop UIを開くことができます。

================================================== ======================

問題は私のWindowsクライアントになります。私は、KDCマシンからWindowsクライアントに_krb5.conf_ファイルをコピーして設定し、名前を_kdc5.ini_に変更しました。

コンピュータのドメインも設定しました:

_C:> Ksetup /setdomain EXAMPLE.COM
_

再起動後、KDCレルムに接続しようとしました

_C:> kinit [email protected]
Password for [email protected]:
<empty row>
_

これまでのところすべては問題なく見えましたが、klistを呼び出すと、次の結果しか得られません。

_Aktuelle Anmelde-ID ist 0:0x7eca34

Zwischengespeicherte Tickets: (0)
_

英語では... cached tickets: (0)のようなもの

また、WindowsクライアントでWebサイトを開くことができないので、Ubuntuクライアント経由の接続に問題がなかったため、相互運用性の問題があると思います。

私のブラウザー(Firefox)は両方のマシン(UbuntuとWindows)で正しく構成する必要があります。_network.negotiate-auth.trusted-uris_プロパティを_http://my.linux-server.de_に設定しました(これを行ったため、Ubuntuクライアントはサイトを開くことができます)。 CurlはUbuntuでも機能しますが、Windowsでは機能しません。

更新:2番目のWindowsクライアントも試したが成功しなかった...

7
D. Müller

ついに私はそれを働かせました! Windows 7(64ビット)マシンで次の手順を実行しましたが、Windows 10でも機能するはずです。

  1. MIT Kerberos from here をインストールします。実際のWindowsバージョンを取得しましたMIT Kerberos for Windows 4.1とデフォルト設定でインストールしました。
  2. ファイルを開くC:\ProgramData\MIT\Kerberos\krb5.iniと次の設定を挿入します。

ファイルの新しい内容:

[libdefaults]
  default_realm = EXAMPLE.COM

[realms]
  EXAMPLE.COM = {
    admin_server = your.admin.server.de
    kdc = your.kdc.server.de
  }
  1. 実際のFirefoxブラウザをダウンロードしてインストールする
  2. タイプabout:configをFirefoxブラウザーのアドレスバーに表示し、次のパラメーターを設定します。

パラメータ=値のペア:

network.negotiate-auth.delegation-uris = http://your.kdc.server.de

network.negotiate-auth.trusted-uris = http://your.kdc.server.de

network.auth.use-sspi = false
  1. PCを再起動します
  2. 使用 MIT Kerberos Ticket Managerユーザーの新しいチケットを取得するには: enter image description here

  3. マネージャーにチケットが表示されます: enter image description here

    8。これで、認証が必要なWebページを開くことができるはずです。 enter image description here

7
D. Müller