我已经在Debian服务器上安装了MIT Kerberos 1.10,并且很高兴地让我的Debian客户端进行身份validation。 然而,让我的Windows 7机器执行相同的操作却遇到了一些麻烦。
我用ksetup来configuration机器如下:
default realm = EXAMPLE.COM (external) EXAMPLE.COM: (no kdc entries for this realm) Realm Flags = 0x5 SendAddress Delegate Mapping all users (*) to a local account by the same name (*).
这也改变了系统的名称和工作组设置:
Computer name: lysander Full computer name: lysander.EXAMPLE.COM Workgroup EXAMPLE.COM
根据文档,如果没有KDC或密码条目的一个领域,Windows将使用DNS,所以我也有以下条目configuration:
_kerberos._udp.example.com. 300 SRV 10 100 88 kdc.example.com. _kerberos-adm._tcp.example.com. 300 SRV 10 100 749 kdc.example.com.
kdc有一个Alogging指向服务器的IP地址。
configurationWindows系统后,我重新启动了它并尝试login,注意login屏幕提供login到EXAMPLE域。 但是,当我尝试以本地用户samlogin时,应该将其映射到[email protected] ,在短暂暂停之后,我被告知没有login服务器可用于服务login请求。 我在Windows事件日志中看不到任何相关内容,并且检查了客户端和服务器之间的networkingstream量,我甚至无法看到Windows机器正在尝试联系KDC。
然而,这不是全部坏消息。 我希望的是,我可以使用runas来获得TGT :
>runas /user:[email protected] cmd Enter the password for [email protected]: Attempting to start cmd as user "[email protected]" ...
在出现的新窗口中:
>klist Current LogonId is 0:0x14e6649 Cached Tickets: (1) #0> Client: sam @ EXAMPLE.COM Server: krbtgt/EXAMPLE.COM @ EXAMPLE.COM KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96 Ticket Flags 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize Start Time: 2/14/2012 11:54:24 (local) End Time: 2/14/2012 21:54:24 (local) Renew Time: 2/21/2012 11:54:24 (local) Session Key Type: AES-256-CTS-HMAC-SHA1-96
如果我然后从该命令提示符启动PuTTY,我可以ssh到其他服务器使用SSPI进行身份validation就好!
我发现,如果我在Windows屏幕上input完整的用户名[email protected] ,那么login工作正常; sam或EXAMPLE\sam不要削减芥末。 我找不到任何证实这是预期行为的事情,但是仔细阅读ksetup的输出结果是一致的:
Mapping all users (*) to a local account by the same name (*).
即,如果您以[email protected]login,那么本地帐户sam将被login; 这并不意味着您可以以sam身份login,并让系统通过KDC以[email protected]身份validation您的身份。