Samba AD: Tạo keytab cho máy tính mà không cần tham gia quảng cáo net?

Technaton

00:10, 08/07/2023

Ý chính: Tôi đã thiết lập một samba là AD DC. Tôi chỉ muốn xuất một keytab cho SPN cho một tài khoản máy tính không có có máy tính tự chạy samba hoặc sự cố quảng cáo mạng tham gia. Đang chạy keytab xuất miền công cụ samba không cung cấp cho tôi khóa nào cho SPN và tôi tin rằng đó là do không có mật khẩu máy. Lam sao tôi co thể sửa no?

Phiên bản dài: Tôi đã thiết lập Samba làm bộ điều khiển miền chính AD đầy đủ tính năng. Xác thực người dùng hoạt động, DNS hoạt động, v.v., vì vậy tôi khá chắc chắn rằng bản thân máy chủ vẫn ổn. Ngoài ra, đã có hai máy tham gia vào miền và keytab của chúng hoạt động, vì vậy có lẽ máy chủ không có lỗi, mà là PEBKAC.

Bây giờ tôi có bộ đệm Squid chạy FreeBSD và tôi muốn thiết lập xác thực Kerberos cho proxy.Tôi không muốn chạy Samba trên máy này - không có lý do gì cả. Vì vậy, tôi nghĩ rằng việc tạo một tài khoản máy tính, đặt SPN và xuất keytab có thể hoạt động, nhưng không phải vậy.

Cụ thể, tôi chạy máy tính samba-tool thêm PROXYMACHINE --ip-address=172.19.9.22 --ip-address=dead:beef:cafe::22 --service-principal-name='host/proxymachine.example.com' --service- tên chính = 'HTTP/proxymachine.example.com'. Mọi thứ đều hoạt động tốt; đang chạy chương trình máy tính công cụ samba PROXYMACHINE cung cấp cho tôi thông tin đầy đủ.

Tuy nhiên, chạy tên miền samba-tool exportkeytab Complete.keytab không cung cấp cho tôi bất kỳ khóa nào cho SPN của máy. Các điều kiện lọc cũng không hoạt động. công cụ samba nói với tôi "Xuất hai hiệu trưởng sang krb5.keytab," nhưng tệp thậm chí không tồn tại (mặc dù công cụ samba thoát với RC 0).

Sự khác biệt giữa các máy tính đã tham gia và máy tính này là không có mật khẩu. Vì vậy, tôi tin rằng điều này có thể là thủ phạm. Nhưng tôi không biết cách đặt mật khẩu máy và tôi không thể xác minh rằng đây thực sự là vấn đề - nó có thể là một vấn đề khác.

Vì vậy, điểm mấu chốt: Tôi cần làm gì để (1) quản lý máy tính dưới dạng "mặt hàng trong kho" (tài khoản máy tính), (2) liên kết SPN với nó và (3) xuất chúng sang tab khóa kerberos? Hoặc là cách tiếp cận của tôi có lẽ sai hoàn toàn?

133

0 + 0

spn

samba4

Điểm:0

Server

Technaton

01:07, 10/07/2023

Mật khẩu máy tính được đặt bằng cách tham gia một miền. Máy tính quản lý tài khoản của họ và thậm chí họ có thể tuân theo chính sách. Tuy nhiên, máy chủ AD thường không thực thi các chính sách theo cách tương tự như đối với tài khoản người dùng. Ví dụ: nếu máy không thay đổi được mật khẩu, máy sẽ không bị loại khỏi miền.

Liên quan đến câu hỏi, nghiên cứu & thử và sai trong máy ảo đã dẫn đến các ứng cử viên giải pháp sau:

Đơn giản chỉ cần sử dụng winbindd. Điều đó có nghĩa là cài đặt bộ samba, định cấu hình trình nền samba và phát hành quảng cáo ròng tham gia -k. Nó dường như là cách truyền thống được sử dụng bởi hầu hết các hướng dẫn trên mạng. Ưu điểm: Một keytab kerberberos và tra cứu người dùng.
Sử dụng sssd, cụ thể là mô-đun sssd-ad. sssd cũng có thể tham gia các miền thông qua nhà cung cấp AD của nó. sssd sau đó sẽ sử dụng kerberos (để xác thực) + LDAP (để tra cứu/ủy quyền người dùng).
Trong trường hợp bạn không cần tra cứu người dùng (như với vấn đề Squid ban đầu), msktutil có thể dành cho bạn. Nó tạo tài khoản người dùng và chuyển keytab, nhưng nó không cung cấp daemon để người dùng tra cứu.

Lựa chọn giữa 1/2 và 3 thật dễ dàng. với câu hỏi ban đầu: Tôi chọn (3), vì tôi không cần tra cứu thông tin người dùng. Nhưng nếu cần tra cứu thông tin người dùng, sự lựa chọn giữa 1 và 2 dường như không rõ ràng. Redhat ủng hộ sssd (cf. https://www.redhat.com/en/blog/overview-direct-integration-options, SSSD so với Winbind), lập luận rằng sssd ổn định hơn và có thể nhanh hơn. Tôi đã bị cắn hơn một lần bởi winbindd chỉ đơn giản là tôi chết vì lỗi mạng, vì vậy tôi có thể liên quan đến điều đó, nhưng tôi không có bất kỳ bằng chứng chắc chắn nào.

0 + 0

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Samba AD: Create keytab for computer without net ads join?

TH: โฆษณาแซมบ้า: สร้างแท็บคีย์สำหรับคอมพิวเตอร์โดยไม่มีโฆษณาสุทธิเข้าร่วมหรือไม่

RO: Samba AD: Creați tastatura pentru computer fără reclame nete?

RU: Samba AD: создать keytab для компьютера без присоединения к сетевой рекламе?

VI: Samba AD: Tạo keytab cho máy tính mà không cần tham gia quảng cáo net?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.