Как исправить авторизацию kinit?

Question

[Дмитрий Добрышин]

Здравствуйте!

Не могу понять где надо исправить. Пытаюсь настроить Linux сервер на доменную авторизацию согласно этого руководства.

Дошёл до п.8 и столкнулся с проблемой удаления обратных слешей между доменом и пользователем. Убедился что это связано с настройкой Kerberos.
krb5.conf

[logging]
    default = FILE:/var/log/kerberos/krb5libs.log
    kdc = FILE:/var/log/kerberos/krb5kdc.log
    admin_server = FILE:/var/log/kerberos/kadmind.log

[libdefaults]
    default_realm = MYDOMAIN.LOCAL
    dns_lookup_realm = true
    dns_lookup_kdc = true
    rdns = true
    ticket_lifetime = 24h
    default_keytab_name = /etc/squid/private/HTTP.keytab
    allow_weak_crypto = true
    forwardable = yes


[realms]
        MYDOMAIN.LOCAL = {
                kdc = lpn-srv-dc-01.mydomain.local
                kdc = lpn-srv-dc-02.mydomain.local
                admin_server = lpn-srv-dc-01.mydomain.local
                default_domain = mydomain.local
        }

[domain_realm]
        .mydomain.local = MYDOMAIN.LOCAL
        mydomain.local = MYDOMAIN.LOCAL

[appdefaults]
    pam = {
      debug = true
      ticket_lifetime = 36000
      renew_lifetime = 36000
      forwardable = true
      krb4_convert = false
    }

[login]
        krb4_convert = true
        krb4_get_tickets = false

При проверке авторизации командой:

# kinit my.user@MYDOMAIN.LOCAL
Password for my.user@MYDOMAIN.LOCAL:

Всё отрабатывает:

# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: my.user@MYDOMAIN.LOCAL

Valid starting       Expires              Service principal
26.07.2017 16:56:23  27.07.2017 02:56:23  krbtgt/MYDOMAIN.LOCAL@MYDOMAIN.LOCAL
        renew until 27.07.2017 16:56:20

Если же авторизуюсь как в п.8 инструкции, то натыкаюсь на следующее:

# kinit "MYDOMAIN\my.user"
kinit: Client 'MYDOMAINmy.user@MYDOMAIN.LOCAL' not found in Kerberos database while getting initial credentials

# kinit "MYDOMAIN\\my.user"
kinit: Client 'MYDOMAINmy.user@MYDOMAIN.LOCAL' not found in Kerberos database while getting initial credentials

# kinit "MYDOMAIN.LOCAL\\my.user"
kinit: Client 'MYDOMAIN.LOCALmy.user@MYDOMAIN.LOCAL' not found in Kerberos database while getting initial credentials

То есть удаляются слеши и не определяется в таком написании домен. Понимаю, что где-то это должно настраиваться, но никак не могу найти где.

Comments

[Алексей Черемисин]

А зачем вам авторизоваться как MYDOMAIN\my.user? Авторизуйтесь просто как my.user. Домен по умолчанию у вас и так MYDOMAIN установлен.и что-то мне подсказывает, что MYDOMAIN\my.user ре пройдет, так как в керберосе @ как раз разделитель пользователя-домена.

[Дмитрий Добрышин]

Алексей Черемисин: Эх... в kinit это ещё прокатывает, а вот по ssh уже не хочет как не хочет и использовать нотацию user@domain. Там опять отлуп кербероса что не найдена учётка. Потому и пытаюсь выяснить как решить проблему.
В ssh авторизации это выглядит:

# ssh "MYDOMAIN\my.user"@my-server
Попытка написать:
# ssh "my.user"@my-server
или
# ssh "my.user@mydomain"@my-server
почему-то ищет учётки в базе кербероса без подстановки домена и говорит что их нет.

[SporeMaster]

Здравствуйте! Как победили? Уже три дня сижу над примерно тем же