意图
我想要设置 2 个 Kerberos 领域,其中一个领域可以对另一个领域中的用户进行身份验证。
当前设置
我有 2 个 Kerberos 服务器(ad.somedomain.com和kerb.foo.bar)
我有我的用户kerb.foo.bar
| 用户 |
|---|
| 用户1 |
| 爱丽丝 |
| 鲍勃 |
我可以,并且得到kinit [email protected][email protected][email protected]目标当我……的时候klist,
我想
我想使用AD.SOMEDOMAIN.COM作为子领域或ad.somedomain.com作为中间服务器。
我希望能够,或者让它授予票证并进行身份验证。kinit [email protected][email protected][email protected]
ad.somedomain.com ←→ kerb.foo.bar
↑
[email protected]
澄清
我不确定如何:
ad.somedomain.com在和之间建立信任关系kerb.foo.bar如何设置用户以允许我想要完成的事情
如何设置客户端
krb5.conf以正确使用此设置。(选修的) 将其设置为“单向”信任有什么区别吗?
我不认为我需要这种关系反过来发生:
我有用户ad.somedomain.com希望在其中进行身份验证kerb.foo.bar
我做了什么
我已经看过了MIT 关于 Kerberos 的文档但我肯定做错了什么。
这可能是我的krb5.conf设置不正确,或者我的[capaths]错了。
krb5.conf
[libdefaults]
forwardable = true
default_realm = KERB.FOO.BAR
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
KERB.FOO.BAR = {
kdc = kerb.foo.bar
admin_server = kerb.foo.bar
}
AD.SOMEDOMAIN.COM = {
kdc = ad.somedomain.com
admin_server = ad.somedomain.com
}
[domain_realm]
.ad.somedomain.com = AD.SOMEDOMAIN.COM
ad.somedomain.com = AD.SOMEDOMAIN.COM
.kerb.foo.bar = KERB.FOO.BAR
kerb.foo.bar = KERB.FOO.BAR
[capaths]
AD.SOMEDOMAIN.COM = {
KERB.FOO.BAR = .
}