我的情况如下:
我们有大量 Linux 用户,因此我们的帐户位于 MIT Kerberos 服务器上。我们有一些 Windows 用户,他们的帐户位于 Windows AD 中。而且,我们越来越多有时同时使用这两个系统的用户。
我们希望 Linux 用户能够登录 Windows 计算机。由于 Linux 用户数量非常庞大,因此将帐户迁移到 AD 不是一个选择。
所以我继续,创建了一个存在于双方的测试用户/主体。我还在 AD 和 MIT Realm 之间创建了一个(双向)信任,并从 Linux 端成功测试了它。然后我使用 ksetup 设置 Windows 机器以识别外部领域
ksetup
default realm = ad.domain (NT Domain)
LINUX.REALM:
kdc = kdc.linux.realm
kpasswd = kdc.linux.realm
Realm Flags = 0x0No Realm Flags
Mapping all users (*) to a local account by the same name (*).
检查退货
nltest /TRUSTED_DOMAINS
List of domain trusts:
0: LINUX.REALM (MIT) (Direct Outbound) (Direct Inbound) ( Attr: non-trans )
1: AD ad.domain (NT 5) (Forest Tree Root) (Primary Domain) (Native)
The command completed successfully
但我无法登录[电子邮件保护]进入 Linux 客户端,也无法从 Windows 端获取票证。Linux Kerberos 日志显示没有 TGT 请求。
我还将用户 ad\test 的 altSecurityIdentities 设置为 kerberos:[电子邮件保护]
我错过了什么?
答案1
正在做
ksetup /addhosttorealmmap .dns.domain LINUX.REALM
修复了这个问题。