Домен/Kerberos: различия между версиями

Материал из ALT Linux Wiki
(Новая страница: «Страница посвящена проверки функционирования и нюансам использования [http://ru.wikipedia.org/wiki/Kerb...»)
 
Нет описания правки
Строка 12: Строка 12:
* При использовании сервера или клиента домена на Седьмой платформе с клиентами или сервером ранних версий '''на новой системе''' пропишите в раздел {{term|[libdefaults]}} файла {{path|/etc/krb5.conf}} строку <source lang="Ini">allow_weak_crypto = true</source>Без этого с тикетами Kerberos будут проблемы.
* При использовании сервера или клиента домена на Седьмой платформе с клиентами или сервером ранних версий '''на новой системе''' пропишите в раздел {{term|[libdefaults]}} файла {{path|/etc/krb5.conf}} строку <source lang="Ini">allow_weak_crypto = true</source>Без этого с тикетами Kerberos будут проблемы.


{{TODO|* Отладка получения тикета: kinit, klist, kdestroy
== TODO ==
{{todo|* Отладка получения тикета: kinit, klist, kdestroy
* Troubleshooting
* Troubleshooting
* kadmin.local
* kadmin.local

Версия от 12:20, 20 февраля 2013

Страница посвящена проверки функционирования и нюансам использования Kerberos в домене ALT Linux

Сервер

Служба Kerberos на сервере называется krb5kdc. Основной её чертой является крайняя немногословность, что затрудняет отладку.

Нюансы работы

  • Тикет Kerberos по умолчанию выдаётся не более чем на 1 сутки. Если хотите выдавать тикет больше, чем на сутки, пропишите
    1. max_life = 30d
      
      в файле /var/lib/kerberos/krb5kdc/kdc.conf (максимальный срок выдаваемого тикета — 30 дней)
    2. на LDAP-сервере dn: krbPrincipalName=krbtgt/<ваш_домен>
      krbMaxTicketLife: 2592000
      
      (срок выдаваемого тикета с сервера — 30 дней, указывается в количестве секунд)
    3. Для указания периода возобновления тикета (хотя странно, имея такой «длинный» тикет, указывать период его обновления) параметры
      max_renewable_life = 30d
      
      и krbMaxRenewableAge: 2592000 соответственно.
  • При использовании сервера или клиента домена на Седьмой платформе с клиентами или сервером ранних версий на новой системе пропишите в раздел [libdefaults] файла /etc/krb5.conf строку
    allow_weak_crypto = true
    
    Без этого с тикетами Kerberos будут проблемы.

TODO

TODO:
  • Отладка получения тикета: kinit, klist, kdestroy
  • Troubleshooting
  • kadmin.local
  • срок тикета в /etc/krb5.conf