Канонизация имени пользователя в билетах Kerberos

385
UNIm95

У меня следующая проблема с моей системой.
Server-Linuxприкреплен Active Directoryи имеет AD-REALM.
Client-Linuxприкреплен freeipaи имеет LINUX-REALM.
Freeipaтрасты Active Directory(с односторонним доверием)
Server-Linuxпринимают билеты Kerberos с именем пользователя в следующем формате:

username@AD-REALM

Если пользователь делает kinitна Client-Linuxнего получает керберос билет в следующем формате:

USERNAME@AD-REALM

Пользователь будет аутентифицировать от Client-Linuxк Server-Linuxс керберос билет, но получает разрешение отказано причину имени пользователя.
После некоторых исследований я обнаружил, что ipaclientдобавляет следующий файл:

[user@client-linux]$ cat /var/lib/sss/pubconf/krb5.include.d/krb5_libdefaults [libdefaults] canonicalize = true

После удаления включения этого файла /etc/krb5.confпользователь получает билет со следующим форматом имени пользователя на Client-Linux:

username@AD-REALM

и может подключиться к. Server-Linux
Но некоторые другие программы должны канонизировать формат имени пользователя.
Я попытался добавить переопределить канонизировать значение в [realm]разделе/etc/krb5.conf

[realms] AD-REALM = { admin_server = ad-realm.local kdc = ad-realm.local canonicalize = false } LINUX-REALM = { admin_server = linux-realm.local kdc = linux-realm.local canonicalize = true }

Однако это не помогло, потому что canonicalizeопция должна быть определена в [libdefault]разделе конфигурации.

Итак, мой вопрос: как я могу установить разные опции canonicalizeдля разных сфер?

  • ОС: CentOS 7
0

0 ответов на вопрос

Похожие вопросы