Домен/Kerberos

Материал из ALT Linux Wiki

Страница посвящена проверки функционирования и нюансам использования Kerberos в домене ALT Linux

Сервер

Служба Kerberos на сервере называется krb5kdc. Основной её чертой является крайняя немногословность, что затрудняет отладку.

Нюансы работы

  • Тикет Kerberos по умолчанию выдаётся не более чем на 1 сутки. Если хотите выдавать тикет больше, чем на сутки, пропишите
    1. max_life = 30d
      
      в файле /var/lib/kerberos/krb5kdc/kdc.conf (максимальный срок выдаваемого тикета — 30 дней)
    2. на LDAP-сервере dn: krbPrincipalName=krbtgt/<ваш_домен>
      krbMaxTicketLife: 2592000
      
      (срок выдаваемого тикета с сервера — 30 дней, указывается в количестве секунд)
    3. Для указания периода возобновления тикета (хотя странно, имея такой «длинный» тикет, указывать период его обновления) параметры
      max_renewable_life = 30d
      
      и krbMaxRenewableAge: 2592000 соответственно.
  • При использовании сервера или клиента домена на Седьмой платформе с клиентами или сервером ранних версий на новой системе пропишите в раздел [libdefaults] файла /etc/krb5.conf строку
    allow_weak_crypto = true
    
    Без этого с тикетами Kerberos будут проблемы.

TODO

TODO:
  • Отладка получения тикета: kinit, klist, kdestroy
  • Troubleshooting
  • kadmin.local
  • срок тикета в /etc/krb5.conf
  • синхронизация времени с помощью settime-rfc867