我已经使用Samba和net ads join -kjoin了Active Directory的CentOS 6服务器。
因此它有一个像这样的keytab:
Keytab name: FILE:/etc/krb5.keytab KVNO Principal ---- -------------------------------------------------------------------------- 1 host/[email protected] 1 host/[email protected] 1 host/[email protected] 1 host/[email protected] 1 host/[email protected] 1 host/[email protected] 1 host/[email protected] 1 host/[email protected] 1 host/[email protected] 1 host/[email protected] 1 [email protected] 1 [email protected] 1 [email protected] 1 [email protected] 1 [email protected]
使用OpenSSH和pam_krb5,当反向DNS查找是myhost.ad.example.com时,我也可以使用GSSAPI进行身份validation。 到现在为止还挺好。
现在,事情是,由于各种原因,我想反向DNS查找服务器是myhost.example.org。 这甚至有可能吗?
“host / [email protected]”应该是一个完全有效的Kerberos主体,但是如果我尝试在Active Directory中添加myhost.example.org作为服务主体名称,则net ads join -k失败,未能设置机器spn:约束违规“。
如果我尝试添加myhost.ad.example.com和myhost.example.org的PTRlogging,我会得到有趣的行为,我可以每隔一次尝试使用GSSAPIlogin。
http://web.mit.edu/kerberos/krb5-1.13/doc/admin/princ_dns.html有一些build议。 我尝试在客户端添加“rdns = false”(krb5.conf),在服务器上添加“ignore_acceptor_hostname = true”(krb5.conf)和“GSSAPIStrictAcceptorCheck no”(sshd_config)。 这似乎没有任何区别。
这是一个领域映射问题。 你的主机很可能被映射到没有领域。
使用/etc/krb5.conf
[domain_realm] .example.com = AD.EXAMPLE.COM
或者最好是DNS等效
_kerberos.example.com IN TXT AD.EXAMPLE.COM