我有一台 CentOS 6 服务器,已使用 Samba 加入 Active Directory net ads join -k。
因此它有一个像这样的密钥表:
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
1 host/[email protected]
1 host/[email protected]
1 host/[email protected]
1 host/[email protected]
1 host/[email protected]
1 host/[email protected]
1 host/[email protected]
1 host/[email protected]
1 host/[email protected]
1 host/[email protected]
1 [email protected]
1 [email protected]
1 [email protected]
1 [email protected]
1 [email protected]
使用 OpenSSH 和 pam_krb5,当反向 DNS 查找为 myhost.ad.example.com 时,我也可以使用 GSSAPI 进行身份验证。到目前为止一切顺利。
现在,出于各种原因,我希望服务器的反向 DNS 查找为 myhost.example.org。这可能吗?
“主持人/[电子邮件保护]“应该是一个完全有效的 Kerberos 主体,但是如果我尝试在 Active Directory 中添加 myhost.example.org 作为服务主体名称,net ads join -k则会失败并显示“无法设置机器 spn:违反约束”。
如果我尝试添加 PTR 记录两个都myhost.ad.example.com 和 myhost.example.org 我得到了有趣的行为,我每次尝试都可以使用 GSSAPI 登录。
http://web.mit.edu/kerberos/krb5-1.13/doc/admin/princ_dns.html有很多建议。我尝试在客户端添加“rdns = false”(krb5.conf),在服务器上添加“ignore_acceptor_hostname = true”(krb5.conf)和“GSSAPIStrictAcceptorCheck no”(sshd_config)。这似乎没有任何区别。
答案1
这是领域映射问题。您的主机可能根本没有映射到任何领域。
使用/etc/krb5.conf
[domain_realm]
.example.com = AD.EXAMPLE.COM
或者最好是 DNS 等效项
_kerberos.example.com IN TXT AD.EXAMPLE.COM