Benutzername Kanonisierung in Kerberos-Tickets

646
UNIm95

Ich habe folgendes Problem mit meinem System.
Server-Linuxhängt an Active Directoryund hat AD-REALM.
Client-Linuxhängt an freeipaund hat LINUX-REALM.
FreeipaVertrauensstellungen Active Directory(einseitige Vertrauensstellung)
Server-Linuxakzeptieren Kerberos-Tickets mit Benutzernamen in folgendem Format:

username@AD-REALM

Wenn der Benutzer macht kinitauf Client-Linuxbekommt er Kerberos - Ticket in folgendem Format:

USERNAME@AD-REALM

Der Benutzer authentifiziert sich von Client-Linuxbis Server-Linuxmit Kerberos Ticket, erhält jedoch die Berechtigung, die auf den Benutzernamen verzichtet wurde.
Nach einigen Untersuchungen habe ich festgestellt, dass ipaclientfolgende Datei hinzugefügt wird:

[user@client-linux]$ cat /var/lib/sss/pubconf/krb5.include.d/krb5_libdefaults [libdefaults] canonicalize = true

Nach dem Entfernen des Include dieser Datei im /etc/krb5.confBenutzer wird auf Client-Linux ein Ticket mit dem folgenden Benutzernamenformat abgerufen:

username@AD-REALM

und ist in der Lage, eine Verbindung Server-Linux
herzustellen. Einige andere Software-Anforderungen müssen jedoch das Format des Benutzernamens kanonisieren.
Ich habe versucht, den kanonischen Wert in [realm]Abschnitt von zu überschreiben/etc/krb5.conf

[realms] AD-REALM = { admin_server = ad-realm.local kdc = ad-realm.local canonicalize = false } LINUX-REALM = { admin_server = linux-realm.local kdc = linux-realm.local canonicalize = true }

Dies hat jedoch nicht geholfen, da die canonicalizeOption in [libdefault]config definiert werden sollte .

Meine Frage ist also: Wie kann ich verschiedene Optionen canonicalizefür verschiedene Bereiche einstellen ?

  • OS: CentOS 7
0

0 Antworten auf die Frage

Verwandte Probleme