当反向 DNS 查找与 AD DNS 后缀不匹配时,Linux 上的 GSSAPI

当反向 DNS 查找与 AD DNS 后缀不匹配时,Linux 上的 GSSAPI

我有一台 CentOS 6 服务器,已使用 Samba 加入 Active Directory net ads join -k

因此它有一个像这样的密钥表:

Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   1 host/[email protected]
   1 host/[email protected]
   1 host/[email protected]
   1 host/[email protected]
   1 host/[email protected]
   1 host/[email protected]
   1 host/[email protected]
   1 host/[email protected]
   1 host/[email protected]
   1 host/[email protected]
   1 [email protected]
   1 [email protected]
   1 [email protected]
   1 [email protected]
   1 [email protected]

使用 OpenSSH 和 pam_krb5,当反向 DNS 查找为 myhost.ad.example.com 时,我也可以使用 GSSAPI 进行身份验证。到目前为止一切顺利。

现在,出于各种原因,我希望服务器的反向 DNS 查找为 myhost.example.org。这可能吗?

“主持人/[电子邮件保护]“应该是一个完全有效的 Kerberos 主体,但是如果我尝试在 Active Directory 中添加 myhost.example.org 作为服务主体名称,net ads join -k则会失败并显示“无法设置机器 spn:违反约束”。

如果我尝试添加 PTR 记录两个都myhost.ad.example.com 和 myhost.example.org 我得到了有趣的行为,我每次尝试都可以使用 GSSAPI 登录。

http://web.mit.edu/kerberos/krb5-1.13/doc/admin/princ_dns.html有很多建议。我尝试在客户端添加“rdns = false”(krb5.conf),在服务器上添加“ignore_acceptor_hostname = true”(krb5.conf)和“GSSAPIStrictAcceptorCheck no”(sshd_config)。这似乎没有任何区别。

答案1

这是领域映射问题。您的主机可能根本没有映射到任何领域。

使用/etc/krb5.conf

[domain_realm]
.example.com = AD.EXAMPLE.COM

或者最好是 DNS 等效项

_kerberos.example.com IN TXT AD.EXAMPLE.COM

相关内容