Пересылка билетов Kerberos без присоединения к домену/области

Пересылка билетов Kerberos без присоединения к домену/области ⇐ Linux

1 сообщение • Страница 1 из 1

Anonymous

Пересылка билетов Kerberos без присоединения к домену/области

Цитата

Сообщение Anonymous » 25 сен 2024, 05:40

В моей организации используется Active Directory, которая использует Kerberos для аутентификации. У меня есть группа компьютеров, которым запрещено присоединяться к AD. Для аутентификации пользователя я настраиваю Kerberos и PAM, чтобы они указывали на сервер AD. После добавления пользователя в систему я могу войти в систему, используя свое имя пользователя и пароль AD. После входа в систему у меня есть билет. Это очень удобно, поскольку мне не нужно поддерживать отдельный набор учетных данных для пользователей.
Теперь я хотел бы настроить пересылку билетов между моей группой компьютеров, чтобы не Мне не придется каждый раз вводить пароль заново. Это не работает. Основываясь на моем элементарном понимании Kerberos, я думаю, что это не удается на этапе «TGS-REQ», где он пытается получить билет службы хоста. Поскольку мой хост не зарегистрирован/добавлен/не присоединен, я предполагаю, что KDC/AD не может его предоставить, и этот шаг не удался.
Мои вопросы?

Правильна ли я, является ли это причиной моих проблем?
Есть ли какой-нибудь способ обойти это, чтобы достичь цели единого входа с использованием кредитов AD ?
Что, если я настрою свой собственный локальный KDC/AD/IDM. Есть ли способ указать это на основной AD?

Подробнее здесь: https://stackoverflow.com/questions/790 ... main-realm

1727232051

Anonymous

В моей организации используется Active Directory, которая использует Kerberos для аутентификации.  У меня есть группа компьютеров, которым запрещено присоединяться к AD.  Для аутентификации пользователя я настраиваю Kerberos и PAM, чтобы они указывали на сервер AD.  После добавления пользователя в систему я могу войти в систему, используя свое имя пользователя и пароль AD.  После входа в систему у меня есть билет.  Это очень удобно, поскольку мне не нужно поддерживать отдельный набор учетных данных для пользователей.
Теперь я хотел бы настроить пересылку билетов между моей группой компьютеров, чтобы не Мне не придется каждый раз вводить пароль заново.  Это не работает.   Основываясь на моем элементарном понимании Kerberos, я думаю, что это не удается на этапе «TGS-REQ», где он пытается получить билет службы хоста.  Поскольку мой хост не зарегистрирован/добавлен/не присоединен, я предполагаю, что KDC/AD не может его предоставить, и этот шаг не удался.
Мои вопросы?
[list]
[*]Правильна ли я, является ли это причиной моих проблем?
[*]Есть ли какой-нибудь способ обойти это, чтобы достичь цели единого входа с использованием кредитов AD ?
[*]Что, если я настрою свой собственный локальный KDC/AD/IDM.  Есть ли способ указать это на основной AD?
[/list] 

Подробнее здесь: [url]https://stackoverflow.com/questions/79020967/kerberos-ticket-forwarding-without-being-joined-to-domain-realm[/url]