Канонизация имени пользователя в билетах Kerberos

Question

Канонизация имени пользователя в билетах Kerberos

У меня следующая проблема с моей системой.
Server-Linux прикреплен к Active Directory и имеетAD-REALM,
Client-Linux прикреплен к freeipa и имеет LINUX-REALM,
Freeipa трасты Active Directory (одна сторона доверия)
Server-Linux принимать билеты Kerberos с именем пользователя в следующем формате:

username@AD-REALM

Если пользователь делает kinit на Client-Linux он получает билет Kerberos в следующем формате:

USERNAME@AD-REALM

Пользователь будет аутентифицироваться с Client-Linux в Server-Linux с билетом Kerberos, но получает отказано в разрешении по причине имени пользователя.
После некоторых исследований я обнаружил, что ipaclient добавляет следующий файл:

[user@client-linux]$ cat /var/lib/sss/pubconf/krb5.include.d/krb5_libdefaults
[libdefaults]
 canonicalize = true

После удаления включите этот файл в /etc/krb5.conf пользователь получает билет со следующим форматом имени пользователя на Client-Linux:

username@AD-REALM

и может подключиться к Server-Linux
Но некоторые другие программы должны канонизировать формат имени пользователя.
Я попытался добавить переопределить канонизировать значение в [realm] раздел /etc/krb5.conf

[realms]
AD-REALM = {
 admin_server = ad-realm.local
 kdc =  ad-realm.local
 canonicalize = false
}
LINUX-REALM = {
 admin_server = linux-realm.local
 kdc =  linux-realm.local
 canonicalize = true
}

Однако это не помогло вызвать canonicalize опция должна быть определена в [libdefault] раздел конфиг.

Итак, мой вопрос: как я могу установить другую опцию для canonicalize для разных сфер?

ОС: CentOS 7

0

linux centos active-directory kerberos freeipa

Источник

UNIm95 12 ноя '18 в 11:36

0 ответов

Другие вопросы по тегам linux centos active-directory kerberos freeipa