Heiko Barg
2010-04-08 12:41:26 UTC
Hallo miteinander,
ich versuche nun schon eine ganze Weile eine Linux Büchse
in eine AD (2008 R2 basiert) zu integrieren.
Und irgendwie scheitere ich an der Kerberos Keytab :-/
Tante Google hat mir bisher nicht den entscheidenden Hinweis geliefert.
Eigentlich dürfte mein Problem mehr auf der Linux Seite liegen, aber ich denke, dass ich hier eher
jemanden finde der meine Problemstellung schonmal erfolgreich gemeistert hat?!
Die Integration/Authentifizierung soll ohne Samba auf die Weise wie es in der Zeitschrift iX 10, 11
& 12/2008 beschrieben wurde rein per Kerberos erfolgen.
Mal der Reihe nach was ich bisher gemacht habe:
* Maschinen Konto im AD angelegt
* service principal name mit setspn -a host/<HostName>.domain <HostName> angelegt
Im Adsi-Editor kann man sehen das der service principal name existiert.
* Passwort für das Maschinen Konto zurück gesetzt
Auf der Linux (in meinem Fall Ubuntu 9.10 Kiste):
* Mit kpasswd das Maschinenkonto Passwort auf etwas "sicheres" gesetzt.
* Mit kinit <HostName> bekommt man nach Eingabe des neuen "sicheren" Passwortes auch ein Ticket
(kann man mit klist sehen)
* mit kvno die kvno Nummer herrausfinden
Soweit so gut und wie in den diversen Anleitungen die ich bisher bemüht hab auch noch unproblematisch:
Und nun der Teil der Probleme macht:
Die Maschine soll sich mittels keytabs selbständig Tickets holen können:
Also mit ktutil Keytab erstellt:
addent -password -p <HostName> -k 4 -e aes256-cts-hmac-sha1-96
addent -password -p host/<HostName>.mpi-dortmund.mpg.de -k 4 -e aes256-cts-hmac-sha1-96
Vier ist die kvno Nummer laut "kvno Tool".
Danach Keytab geschrieben und mit kinit -k (-t keytab-Datei) <hostname> ausprobiert:
Und da bekomme ich immer ein "kinit: Preauthentication failed while getting initial credentials"
was laut Netz auf falsches Passwort oder falsche Verschlüsselung hindeutet.
Falsche Verschlüsselung schließe ich aus, da "aes256-cts-hmac-sha1-96" mir per "klist -e" bei einem
Ticket angegeben wird welches ich "manuell" per kinit <hostname> "-> Passwort eingeben" geholt habe.
Also das manuelle holen eine Tickets funktioniert, nur wenn es automatisiert per KEytab erfolgen
soll scheitert es. Nichts desto trotz habe ich auch andere Verschlüsselungsmethoden (die so im NEtz
angegeben werden) probiert mit mehr oder minder dem selben Ergebnis.
Entweder ich bekomme obige Fehler Meldung oder ein "kinit: Key table entry not found while getting
initial credentials". Wobei meiner Ansicht ein klist auf die Keytable sagt das es den Eintrag gibt
;-) :-/
Auch ein erstellen der Keytable auf dem Windows Domänen Controller per ktpass.exe (dann nat. nach
Linux rüberkopieren) liefert letztlich das gleiche Ergebnis.
Nun hoffe ich das hier mir jemand den entscheidenden Wink geben kann was ich falsch mache. (Ich
hoffe ich habe alle nötigen Informationen gegeben, ansonsten reiche ich sie gerne nach.)
Vielen Dank schon mal.
Schönen Gruß,
Heiko
ich versuche nun schon eine ganze Weile eine Linux Büchse
in eine AD (2008 R2 basiert) zu integrieren.
Und irgendwie scheitere ich an der Kerberos Keytab :-/
Tante Google hat mir bisher nicht den entscheidenden Hinweis geliefert.
Eigentlich dürfte mein Problem mehr auf der Linux Seite liegen, aber ich denke, dass ich hier eher
jemanden finde der meine Problemstellung schonmal erfolgreich gemeistert hat?!
Die Integration/Authentifizierung soll ohne Samba auf die Weise wie es in der Zeitschrift iX 10, 11
& 12/2008 beschrieben wurde rein per Kerberos erfolgen.
Mal der Reihe nach was ich bisher gemacht habe:
* Maschinen Konto im AD angelegt
* service principal name mit setspn -a host/<HostName>.domain <HostName> angelegt
Im Adsi-Editor kann man sehen das der service principal name existiert.
* Passwort für das Maschinen Konto zurück gesetzt
Auf der Linux (in meinem Fall Ubuntu 9.10 Kiste):
* Mit kpasswd das Maschinenkonto Passwort auf etwas "sicheres" gesetzt.
* Mit kinit <HostName> bekommt man nach Eingabe des neuen "sicheren" Passwortes auch ein Ticket
(kann man mit klist sehen)
* mit kvno die kvno Nummer herrausfinden
Soweit so gut und wie in den diversen Anleitungen die ich bisher bemüht hab auch noch unproblematisch:
Und nun der Teil der Probleme macht:
Die Maschine soll sich mittels keytabs selbständig Tickets holen können:
Also mit ktutil Keytab erstellt:
addent -password -p <HostName> -k 4 -e aes256-cts-hmac-sha1-96
addent -password -p host/<HostName>.mpi-dortmund.mpg.de -k 4 -e aes256-cts-hmac-sha1-96
Vier ist die kvno Nummer laut "kvno Tool".
Danach Keytab geschrieben und mit kinit -k (-t keytab-Datei) <hostname> ausprobiert:
Und da bekomme ich immer ein "kinit: Preauthentication failed while getting initial credentials"
was laut Netz auf falsches Passwort oder falsche Verschlüsselung hindeutet.
Falsche Verschlüsselung schließe ich aus, da "aes256-cts-hmac-sha1-96" mir per "klist -e" bei einem
Ticket angegeben wird welches ich "manuell" per kinit <hostname> "-> Passwort eingeben" geholt habe.
Also das manuelle holen eine Tickets funktioniert, nur wenn es automatisiert per KEytab erfolgen
soll scheitert es. Nichts desto trotz habe ich auch andere Verschlüsselungsmethoden (die so im NEtz
angegeben werden) probiert mit mehr oder minder dem selben Ergebnis.
Entweder ich bekomme obige Fehler Meldung oder ein "kinit: Key table entry not found while getting
initial credentials". Wobei meiner Ansicht ein klist auf die Keytable sagt das es den Eintrag gibt
;-) :-/
Auch ein erstellen der Keytable auf dem Windows Domänen Controller per ktpass.exe (dann nat. nach
Linux rüberkopieren) liefert letztlich das gleiche Ergebnis.
Nun hoffe ich das hier mir jemand den entscheidenden Wink geben kann was ich falsch mache. (Ich
hoffe ich habe alle nötigen Informationen gegeben, ansonsten reiche ich sie gerne nach.)
Vielen Dank schon mal.
Schönen Gruß,
Heiko