Tham gia Đăng nhập
Điểm:0
avatar Server

Không thể lấy thông tin xác thực cho tài khoản máy tính - không tìm thấy ứng dụng khách trong cơ sở dữ liệu kerberos

lá cờ mm
Ronny

Tôi đã kết nối thành công máy ubuntu (Ubuntu 20.04 LTS) với Active Directory. Do đó, tôi có thể đăng nhập bằng Tài khoản AD, nhận và gia hạn vé cấp vé cho người dùng và truy cập các chia sẻ mạng bằng xác thực Kerberos.

Tuy nhiên, tôi gặp khó khăn trong việc lấy thông tin đăng nhập ban đầu cho tài khoản máy tính:

admin@comp01:~$ sudo KRB5_TRACE=/dev/stdout kinit -kt /etc/krb5.keytab
[sudo] mật khẩu cho quản trị viên:
[232252] 1645435537.855061: Lấy thông tin đăng nhập ban đầu cho máy chủ/[email protected]
[232252] 1645435537.855062: Tra cứu etypes trong keytab: rc4-hmac, aes128-cts, aes256-cts
[232252] 1645435537.855064: Gửi yêu cầu chưa được xác thực
[232252] 1645435537.855065: Gửi yêu cầu (187 byte) tới COMPANY.LAN
[232252] 1645435537.855066: Gửi yêu cầu UDP ban đầu tới dgram 172.27.17.6:88
[232252] 1645435537.855067: Đã nhận được câu trả lời (84 byte) từ dgram 172.27.17.6:88
[232252] 1645435537.855068: Phản hồi từ chủ KDC
[232252] 1645435537.855069: Đã nhận lỗi từ KDC: -1765328378/Không tìm thấy ứng dụng khách trong cơ sở dữ liệu Kerberos
kinit: Không tìm thấy máy khách 'host/[email protected]' trong cơ sở dữ liệu Kerberos khi nhận thông tin xác thực ban đầu

Tôi đã dành vài giờ cho vấn đề đó mà không có tiến triển. Có lẽ tôi đang thiếu một số bước cần thiết. Hiệu trưởng được yêu cầu được chứa trong keytab cục bộ trên máy ubuntu:

root@comp01:~$ klist -kte
Tên tab khóa: TỆP:/etc/krb5.keytab
Hiệu trưởng Dấu thời gian KNO
---- --------------------------------------------- ---------------------------
   4 17/02/2022 07:34:59 [email protected] (arcfour-hmac)
   4 17/02/2022 07:34:59 [email protected] (aes128-cts-hmac-sha1-96)
   4 17/02/2022 07:34:59 [email protected] (aes256-cts-hmac-sha1-96)
   4 17/02/2022 07:34:59 máy chủ/[email protected] (arcfour-hmac)
   4 17/02/2022 07:34:59 máy chủ/[email protected] (aes128-cts-hmac-sha1-96)
   4 17/02/2022 07:34:59 máy chủ/[email protected] (aes256-cts-hmac-sha1-96)
   4 17/02/2022 07:34:59 máy chủ lưu trữ/[email protected] (arcfour-hmac)
   4 17/02/2022 07:34:59 host/[email protected] (aes128-cts-hmac-sha1-96)
   4 17/02/2022 07:35:00 host/[email protected] (aes256-cts-hmac-sha1-96)
   4 17/02/2022 07:35:00 Bị hạn chếKrbHost/[email protected] (arcfour-hmac)
   4 17/02/2022 07:35:00 Bị hạn chếKrbHost/[email protected] (aes128-cts-hmac-sha1-96)
   4 17/02/2022 07:35:00 Bị hạn chếKrbHost/[email protected] (aes256-cts-hmac-sha1-96)
   4 17/02/2022 07:35:00 Bị hạn chếKrbHost/[email protected] (arcfour-hmac)
   4 17/02/2022 07:35:00 Bị hạn chếKrbHost/[email protected] (aes128-cts-hmac-sha1-96)
   4 17/02/2022 07:35:00 Bị hạn chếKrbHost/[email protected] (aes256-cts-hmac-sha1-96)

Và tiền gốc cũng được đăng ký trên bộ điều khiển AD-Domain:

> setspn -L comp01
Registrierte Dienstprinzipalnamen (SPN) für CN=COMP01,CN=Computers,DC=company,DC=lan:
            Bị hạn chếKrbHost/comp01.company.lan
            máy chủ/comp01.company.lan
            Bị hạn chếKrbHost/COMP01
            máy chủ/COMP01

Máy ubuntu đã được kết nối với AD-Domain bằng cách sử dụng

> lĩnh vực gia nhập công ty.lan

Và tệp cấu hình Kerberos như sau:

[libdefaults]
        default_realm = COMPANY.LAN
        ccache_type = 4
        có thể chuyển tiếp = đúng
        có thể thay thế = đúng
        fcc-mit-ticketflags = true
[cõi]
        CÔNG TY.LAN = {
                kdc = DC.company.lan
                admin_server = DC.company.lan
                default_domain = company.lan
        }
[miền_cõi]
        .company.lan = CÔNG TY.LAN
        company.lan = COMPANY.LAN

Chuyển tiếp và đảo ngược DNS cũng có vẻ tốt:

> nslookup comp01
Máy chủ: DC.company.lan
Địa chỉ: 172.27.17.41

Tên: comp01.company.lan
Địa chỉ: 172.27.17.131

> nslookup 172.27.17.131
Máy chủ: DC.company.lan
Địa chỉ: 172.27.17.41

Tên: comp01.company.lan
Địa chỉ: 172.27.17.131

Tôi thực sự biết ơn vì bất kỳ gợi ý nào hướng dẫn tôi đi đúng hướng.

122
0 + 0
Semicolon avatar
lá cờ jo
Semicolon
Cú pháp phù hợp với tôi được dịch sang mạng của bạn (sử dụng sAMAccountName của đối tượng máy tính, tại FQDN của miền: " kinit -k [email protected]
1
Hồi đáp
lá cờ mm
Ronny
@Dấu chấm phẩy Tôi đã thử cách sau (tôi cho rằng vị trí của ký hiệu đô la được cố ý đặt ngay sau tên máy tính?): `kinit -kt /etc/krb5.keytab [email protected]` `kinit -kt /etc/ krb5.keytab [email protected]` và `kinit -kt /etc/krb5.keytab [email protected]` Mọi nỗ lực đều dẫn đến kết quả sau: `kinit: Keytab không chứa khóa phù hợp cho COMP01@COMPANY. LAN trong khi nhận thông tin đăng nhập ban đầu` Chỉ có tên chính là khác: [email protected], [email protected][email protected]
0
Hồi đáp
Calchas avatar
lá cờ br
Calchas
Làm thế nào mà bạn có được keytab này? Lưu ý rằng đô la là một ký tự đặc biệt trong trình bao POSIX, vì vậy bạn sẽ phải thoát ký tự đó. Một cách tốt hơn để kiểm tra xem một hiệu trưởng có tồn tại trong cơ sở dữ liệu hay không là sử dụng công cụ `kVno`.
0
Hồi đáp
lá cờ mm
Ronny
@Dấu chấm phẩy Bạn hoàn toàn đúng, nhưng tôi quá mù quáng để xem giải pháp. Cạm bẫy: Tôi cần đánh dấu xung quanh mã định danh; mặt khác, $ được thay thế bằng "COMPANY.LAN", dẫn đến thông tin đăng nhập kỳ lạ trong nhận xét trước đây của tôi. Tôi chỉ nhận ra vấn đề sau câu trả lời từ @user1686. Do đó, lệnh thành công để lấy vé là `kinit -kt /etc/krb5.keytab '[email protected]'` Cảm ơn bạn rất nhiều vì sự giúp đỡ của bạn!
1
Hồi đáp
Điểm:1
user1686 avatar Server
lá cờ fr
user1686

Với Kerberos có hương vị Active Directory, có sự khác biệt giữa tên chính "người dùng" (máy khách) và "dịch vụ" (mục tiêu). Đặc biệt, chỉ có sAMAccountName của tài khoản có thể đóng vai trò là tiền gốc của khách hàng, SPN của nó thì không.

Tên tài khoản của các đối tượng máy tính luôn là tên máy chủ được viết hoa và có hậu tố là $, ví dụ. đối với máy tính có tên "COMP01", tên tài khoản sẽ là COMP01$.

Trong khi đó máy chủ/comp01máy chủ/comp01.company.lan chỉ tồn tại như dịch vụ hiệu trưởng một AD KDC sẽ cấp vé cho các máy khách yêu cầu "host/comp01" làm máy chủ đích, nhưng không cho phép chúng đóng vai trò là máy khách trong quá trình xác thực ban đầu. Chúng tồn tại trong keytab của bạn chỉ để được sử dụng ở phía "người chấp nhận".

0 + 0
lá cờ mm
Ronny
Thật vậy, điều đó đã giải quyết được vấn đề của tôi! Kết hợp với nhận xét từ @Semiacolon, tôi đã có thể nhận được một vé bằng cách sử dụng `kinit -kt /etc/krb5.keytab '[email protected]'` (Hậu tố đô la và dấu tick rất quan trọng!) Cảm ơn bạn rất nhiều về sự giúp đỡ của bạn!
1
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.