Я устанавливаю аутентификацию Kerberos для одного приложения.Активный каталог установлен в Windows Server 2012 R2, и я создаю файл keytab на компьютере Centos, который не добавлен в домен.
Я могу успешно протестировать сгенерированный файл keytab с помощью следующей команды
kinit -k -t /tmp/hirosrv.keytab hirosrv@HIRO.COM
Событие безопасности, созданное на компьютере с Windows:
Был запрошен билет проверки подлинности Kerberos (TGT).
Информация об учетной записи: Имя учетной записи: hirosrv Поставляемое имя области: HIRO.COM ID пользователя: HIRO \ hirosrv
Информация об услуге: Имя службы: krbtgt Идентификатор службы: HIRO \ krbtgt
Информация о сети: Адрес клиента: 10.XX.XX.2 Порт клиента: 37142
Дополнительная информация: Параметры билета: 0x40800000 Код результата: 0x0 Тип шифрования билета: 0x17 Тип предварительной аутентификации: 2
Информация о сертификате: Имя эмитента сертификата: Серийный номер сертификата: Отпечаток сертификата:
Информация о сертификате предоставляется только в том случае, если сертификат использовался для предварительной аутентификации.
Following - это вывод klist -A
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: hirosrv@HIRO.COM
Valid starting Expires Service principal
12/03/18 16:26:48 12/04/18 02:26:48 krbtgt/HIRO.COM@HIRO.COM
renew until 12/10/18 16:26:48
Тот же принципал службы связан с учетной записью пользователя:
PS C:\Users\administrator> setspn.exe -Q krbtgt/HIRO.COM
Checking domain DC=hiro,DC=com
CN=hirosrv,CN=Users,DC=hiro,DC=com
krbtgt/HIRO.COM
krbtgt/HIRO.COM@HIRO.COM
Existing SPN found!
Приложение настроено на использование файла keytab для аутентификации, но я получаюследующая ошибка:
ERR_S_PRINCIPLE_UNKNOWN(7) error.