我正在尝试实施硬件 UTM(防火墙)以使用 SSO。为此目的配置的 SSO 服务器使用 Active Directory (DC) 安全事件日志。这些日志告诉 SSO 系统哪些域用户已登录/处于活动状态/加入哪些组/已注销等。
我们的域环境大多数是 Windows 客户端。但约有 20% 的计算机是基于 Linux (Debian) 的。Linux 计算机通过 sssd 加入并配置到 AD。
我让 Windows 机器运行良好。这意味着所有安全事件日志都已成功收集和提取。另一方面,Linux 机器遇到了各种问题。经过几天的研究,我将其归咎于一些安全事件日志中的值。
Windows 安全事件 4768:
Account Information:
Account Name: [username]
User ID: [username]
对于 Windows 客户端,上述事件日志中指定的字段包含“域用户名”。但 Linux 客户端会用其计算机名称填充该字段,并在末尾添加 $ 符号。
这似乎是 SSO 代理无法读取这些计算机上的当前用户状态的原因。我检查了 Linux 端的所有文件,但没有成功。我需要帮助,了解需要修改哪些地方,以便来自 Linux 计算机的事件在其“TargetUserName”字段(而不是“hostname$”)中显示用户名。
更新:仍在寻找解决方案。当我运行“klist -k”时,它显示
2 [email protected]
2 [email protected]
2 [email protected]
2 host/[email protected]
2 host/[email protected]
2 host/[email protected]
2 host/[email protected]
2 host/[email protected]
2 host/[email protected]
2 RestrictedKrbHost/[email protected]
2 RestrictedKrbHost/[email protected]
2 RestrictedKrbHost/[email protected]
2 RestrictedKrbHost/[email protected]
2 RestrictedKrbHost/[email protected]
2 RestrictedKrbHost/[email protected]
前三个条目是事件 (MYCLIENT$) 中显示的内容。这让我想到,如果我能在这个 keytab 中使用用户名,它可能会起作用。但我还没有找到方法来实现这一点,因为运行 kadmin 命令时会出现错误:
kadmin client "myuser/[email protected]" not found in kerberos database while initializing kadmin interface