Création d'un fichier keytab à utiliser avec kinit dans Windows

Je suis en train d'écrire un pGina plugin pour obtenir des Tokens d'AFS et un TGT (ticket granting ticket Kerberos de notre KDC lors de la connexion, tout en écrivant, j'ai remarqué une option de kinit être qu'il ne vous laissera pas fournir d'informations à moins que sa à partir du clavier, il est allé mon idée de la redirection de l'entrée standard...

Quelqu'un a suggéré d'utiliser un fichier keytab pour le principal, qui semble super facile, jusqu'à ce que j'ai réalisé que je n'avais utilisé kutil sur linux et éprouve des difficultés avec la version Windows de ce qui est ktpass.exe. J'ai essayé à plusieurs reprises avec un grand nombre de combinaisons d'arguments pour créer un fichier keytab, mais ils ont eu absolument aucun succès jusqu'à présent, la commande en cours, je suis d'émission est:

ktpass /out key.tab /mapuser [email protected] /princ [email protected] /crypto RC4-HMAC-NT /ptype KRB5_NT_PRINCIPAL /pass mahpasswordlol /target MERP.EDU

Malheureusement, toutes ces sorties est

Using legacy password setting method

FAIL: ldap_bind_s failed: 0x31

Qui d'après mes recherches, est une authentification/chiffrement de problème, j'ai essayé avec l'autre DES paramètres mais cela ne semble pas fonctionner... quelqu'un a une expérience et des idées sur la façon dont cela pourrait fonctionner?

DES est désactivé par défaut dans Windows 2008 R2 Active Directory et au-dessus. Cela peut avoir été la question sur la face arrière, puis lorsque vous avez essayé.

OriginalL'auteur rolands | 2012-06-07

  1. 10

    ktpass.exe est en effet terrible; je ne l'utilise pas. Au lieu de cela, il suffit d'utiliser ktutil sur Unix pour créer une correspondance keytab indépendamment en utilisant le mot de passe, par exemple:

    $ ktutil
ktutil:  addent -password -p foo@BAR -k 1 -e aes128-cts-hmac-sha1-96
Password for foo@BAR:
ktutil:  l
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    1                                  foo@BAR
ktutil:  wkt /tmp/zz
$ klist -ek /tmp/zz
Keytab name: WRFILE:/tmp/zz
KVNO Principal
---- --------------------------------------------------------------------------
   1 foo@BAR (aes128-cts-hmac-sha1-96)

    La liaison LDAP erreur indique que ktpass ne pouvez pas vous authentifier sur le contrôleur de domaine; êtes-vous connecté à un compte de domaine lorsque cela se produit? Il doit être un compte de domaine, plutôt que d'un "local" (et il doit être autorisé à apporter les modifications nécessaires aux AD, mais manque juste qui permettrait de donner une autorisation d'erreur plutôt que de se lier).

    FWIW, nous prenons une approche différente: nous utilisons de la croix-domaine de la confiance entre notre Unix et AD royaumes. L'ANNONCE TGT l'utilisateur obtient lors de la connexion est alors suffisante pour acquérir des informations d'identification pour les services dans le domaine Unix ainsi; par exemple, je peux utiliser de Mastic pour faire un SSH sur un ordinateur hôte Unix, Firefox/Chrome/IE de s'authentifier sur Unix services web (Apache/mod_auth_kerb), etc.

    Lorsque vous utilisez la croix de confiance, ne vous chevauchement UNIX et WINDOWS, les noms DNS ou avez-vous l'installation d'un sous-domaine à joindre vos hôtes UNIX?
    La nôtre se chevauchent, c'est-à-dire, il n'y a pas de règle simple qui permet de distinguer les noms d'hôtes dans les deux royaumes. Toutefois, je recommande l'utilisation de non-cumul des domaines pour chaque si c'est possible, par exemple *.WIN.FOO.COM et *.UNIX.FOO.COM; notre mixtes d'installation est le résultat de l'héritage de l'infrastructure que nous ne pouvons pas changer maintenant. Le mélange d'installation nécessite une bonne quantité de complexité dans la forme de références et/ou statique de domaine/domaine de configuration sur les deux côtés, afin de s'assurer que toutes les demandes de billets d'obtenir au bon endroit. J'ai utilisé des domaines distincts dans un tout nouveau déploiement récemment, pour éviter tout cela.

    OriginalL'auteur Richard E. Silverman