Linux

CentOS 6 AD Authentication with SSSD: 為什麼要在加入域後獲取基於主機的票證

  • June 15, 2017

以下來自 Red Hat 的兩份文件解釋了將伺服器添加到 AD 域的過程。RHEL 版本不同,但步驟適用於兩者。

第 17 頁:https ://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/pdf/Windows_Integration_Guide/Red_Hat_Enterprise_Linux-7-Windows_Integration_Guide-en-US.pdf

步驟 3-d,將系統添加到域,然後列出主機密鑰表中的密鑰以確保主機主體密鑰存在:

# klist -k

本文件中的說明不要求使用主機密鑰表獲取 TGT。

根據“ https://access.redhat.com/sites/default/files/attachments/rhel-ad-integration-deployment-guidelines-v1.5.pdf ”的第 61 頁第 7 步,通過執行獲得基於主機的 TGT :

# kinit -­k <hostname>$

我們在哪裡使用這個基於主機的 TGT?

無論有沒有主機 TGT,我都可以將 Linux 伺服器添加到 AD 域,並讓使用者使用他們的 AD 憑據登錄。

AD每30天輪換一次機器密碼時,它對主機keytab的更新有什麼作用嗎?

另一個相關問題是,當我列出主機密鑰時,我看到過期(並且續訂日期已過)票證仍然列出:

# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: TESTHOST$@AD.EXAMPLE.COM

Valid starting     Expires            Service principal
06/10/17 12:59:41  06/10/17 22:59:41  krbtgt/AD.EXAMPLE.COM@AD.EXAMPLE.COM
       renew until 06/11/17 12:59:41
# date
Mon Jun 12 14:14:21 UTC 2017

klist列印過期主機票正常嗎?klist 何時將它們從列印中刪除?

謝謝

關於與主機主體的 kinit —— 這只是一個健全性檢查。有太多人在他們的主機上放置了偽造的 keytab,然後抱怨“sssd 已損壞”,我們不得不進行明確的檢查以盡快發現錯誤的 keytab。

關於 klist——這真的取決於 ccache 後端是什麼。使用文件,憑據即使在過期後仍保留在文件中,因此 klist 僅顯示它們。例如,使用 KEYRING(RHEL-7 使用),憑證在到期時會消失,因此不會顯示任何內容。無論哪種方式都沒有害處。

引用自:https://serverfault.com/questions/855275