Регистрация Войти
Рейтинг:0
avatar Server

Не удается получить учетные данные для учетной записи компьютера — клиент не найден в базе данных Kerberos

флаг mm
Ronny

Я успешно присоединил машину с Ubuntu (Ubuntu 20.04 LTS) к Active Directory. Таким образом, я могу войти в систему с помощью AD-Accounts, получить и обновить билет на получение билета для пользователя и получить доступ к общим сетевым ресурсам с помощью проверки подлинности Kerberos.

Однако я изо всех сил пытаюсь получить начальные учетные данные для учетной записи компьютера:

admin@comp01:~$ sudo KRB5_TRACE=/dev/stdout kinit -kt /etc/krb5.keytab
[sudo] пароль для администратора:
[232252] 1645435537.855061: получение исходных учетных данных для host/[email protected]
[232252] 1645435537.855062: поиск etypes в таблице ключей: rc4-hmac, aes128-cts, aes256-cts
[232252] 1645435537.855064: Отправка запроса без проверки подлинности
[232252] 1645435537.855065: Отправка запроса (187 байт) в COMPANY.LAN
[232252] 1645435537.855066: Отправка начального запроса UDP на dgram 172.27.17.6:88
[232252] 1645435537.855067: получен ответ (84 байта) от dgram 172.27.17.6:88
[232252] 1645435537.855068: ответ был от главного KDC
[232252] 1645435537.855069: Получена ошибка от KDC: -1765328378/Клиент не найден в базе данных Kerberos
kinit: клиент «host/[email protected]» не найден в базе данных Kerberos при получении исходных учетных данных

Я потратил несколько часов на эту проблему без прогресса. Возможно, я пропускаю некоторые важные шаги. Запрошенный принципал содержится в локальной таблице ключей на машине с Ubuntu:

root@comp01:~$ klist -kte
Имя вкладки: ФАЙЛ:/etc/krb5.keytab
Временная метка KVNO
---- ------------------ ------------------------------------------ ---------------------------
   4 17.02.2022 07:34:59 [email protected] (arcfour-hmac)
   4 17.02.2022 07:34:59 [email protected] (aes128-cts-hmac-sha1-96)
   4 17.02.2022 07:34:59 [email protected] (aes256-cts-hmac-sha1-96)
   4 17.02.2022 07:34:59 host/[email protected] (arcfour-hmac)
   4 17.02.2022 07:34:59 host/[email protected] (aes128-cts-hmac-sha1-96)
   4 17.02.2022 07:34:59 host/[email protected] (aes256-cts-hmac-sha1-96)
   4 17.02.2022 07:34:59 host/[email protected] (arcfour-hmac)
   4 17.02.2022 07:34:59 host/[email protected] (aes128-cts-hmac-sha1-96)
   4 17.02.2022 07:35:00 host/[email protected] (aes256-cts-hmac-sha1-96)
   4 17.02.2022 07:35:00 RestrictedKrbHost/[email protected] (arcfour-hmac)
   4 17.02.2022 07:35:00 RestrictedKrbHost/[email protected] (aes128-cts-hmac-sha1-96)
   4 17.02.2022 07:35:00 RestrictedKrbHost/[email protected] (aes256-cts-hmac-sha1-96)
   4 17.02.2022 07:35:00 RestrictedKrbHost/[email protected] (arcfour-hmac)
   4 17.02.2022 07:35:00 RestrictedKrbHost/[email protected] (aes128-cts-hmac-sha1-96)
   4 17.02.2022 07:35:00 RestrictedKrbHost/[email protected] (aes256-cts-hmac-sha1-96)

И принципал тоже прописан на контроллере AD-Domain:

> setspn -L comp01
Registrierte Dienstprinzipalname (SPN) для CN=COMP01,CN=Computers,DC=company,DC=lan:
            ОграниченныйKrbHost/comp01.company.lan
            хост/comp01.company.lan
            ОграниченныйKrbHost/COMP01
            хост/COMP01

Машина Ubuntu была присоединена к домену AD с помощью

> Присоединяйтесь к области company.lan

И файл конфигурации Kerberos выглядит следующим образом:

[libdefaults]
        default_realm = COMPANY.LAN
        ccache_type = 4
        пересылаемый = правда
        прокси = правда
        fcc-mit-ticketflags = true
[сферы]
        COMPANY.LAN = {
                kdc = DC.company.lan
                admin_server = DC.company.lan
                default_domain = company.lan
        }
[область_домена]
        .company.lan = COMPANY.LAN
        company.lan = COMPANY.LAN

Прямой и обратный DNS также выглядят хорошо:

> nslookup comp01
Сервер: DC.company.lan
Адрес: 172.27.17.41

Название: comp01.company.lan
Адрес: 172.27.17.131

> нслуукап 172.27.17.131
Сервер: DC.company.lan
Адрес: 172.27.17.41

Название: comp01.company.lan
Адрес: 172.27.17.131

Я очень благодарен за любой намек, который ведет меня в правильном направлении.

122
0 + 0
Semicolon avatar
флаг jo
Semicolon
Синтаксис, который работает для меня, переведен в вашу сеть (используйте sAMAccountName объекта компьютера в полном доменном имени домена: " kinit -k [email protected]
1
Ответить
флаг mm
Ronny
@ Точка с запятой Я пробовал следующее (полагаю, знак доллара был намеренно расположен сразу после имени компьютера?): `kinit -kt /etc/krb5.keytab [email protected]` `kinit -kt /etc/ krb5.keytab [email protected]` и `kinit -kt /etc/krb5.keytab [email protected]` Все попытки заканчиваются следующим результатом: `kinit: Keytab не содержит подходящих ключей для COMP01@COMPANY. LAN при получении исходных учетных данных Отличаются только основные имена: [email protected], [email protected] и [email protected]
0
Ответить
Calchas avatar
флаг br
Calchas
Как вы получили этот keytab? Обратите внимание, что доллар является специальным символом в оболочках POSIX, поэтому вам придется экранировать его. Лучший способ проверить, существует ли принципал в базе данных, — использовать инструмент `kvno`.
0
Ответить
флаг mm
Ronny
@ Точка с запятой Вы были совершенно правы, но я был слишком слеп, чтобы увидеть решение. Подводный камень: мне нужно было расставить галочки вокруг идентификатора; в противном случае $ заменяется на «COMPANY.LAN», что приводит к странным учетным данным в моем предыдущем комментарии. Я понял проблему только после ответа от @user1686. Таким образом, успешной командой для получения билета является `kinit -kt /etc/krb5.keytab '[email protected]'` Большое спасибо за вашу помощь!
1
Ответить
Рейтинг:1
user1686 avatar Server
флаг fr
user1686

В Kerberos со вкусом Active Directory существует различие между основными именами «пользователь» (клиент) и «служба» (цель). Конкретно, Только sAMAccountName учетной записи может выступать в качестве основного клиента, а его SPN — нет.

Имя учетной записи компьютерных объектов всегда представляет собой имя хоста в верхнем регистре с добавлением суффикса. $, например для компьютера с именем "COMP01" имя учетной записи будет COMP01$.

Тем временем хост/comp01 и хост/comp01.company.lan существуют только как оказание услуг принципы — AD KDC будет выдавать билеты для клиентов, запрашивающих «host/comp01» в качестве целевого сервера, но не позволяет им действовать в качестве клиентов во время начальной аутентификации. Они существуют в вашей таблице ключей только для использования на стороне «акцептора».

0 + 0
флаг mm
Ronny
Действительно, это решило мою проблему! В сочетании с комментарием @Semicolon я смог получить билет, используя `kinit -kt /etc/krb5.keytab '[email protected]'` (суффикс доллара и галочки очень важны!) Большое спасибо! за вашу помощь!
1
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.