Samba AD: создать keytab для компьютера без присоединения к сетевой рекламе?

Technaton

08.07.2023, 00:10

Суть: Я настроил самбу как AD DC. Я хочу экспортировать keytab для SPN только для учетной записи компьютера без наличие компьютера для запуска самбы или проблемы чистая реклама присоединиться. Бег samba-tool домен exportkeytab не дает мне ключей для SPN, и я считаю, что это потому, что нет машинного пароля. Как я могу это исправить?

Длинная версия: Я настроил Samba в качестве полнофункционального основного контроллера домена AD. Аутентификация пользователя работает, DNS работает и т.д., так что я вполне уверен, что сам сервер в порядке. Кроме того, в домене уже есть две машины, и keytab у них работает, так что скорее всего виноват не сервер, а PEBKAC.

Теперь у меня есть кеш Squid под управлением FreeBSD, и я хотел бы настроить аутентификацию Kerberos для прокси.Я не хочу запускать Samba на этой машине - для этого нет причин. Поэтому я подумал, что создание учетной записи компьютера, установка имен SPN и экспорт таблицы ключей могут сработать, но это не сработало.

В частности, я бегу компьютер samba-tool добавить PROXYMACHINE --ip-address=172.19.9.22 --ip-address=dead:beef:cafe::22 --service-principal-name='host/proxymachine.example.com' --service- имя-основного = 'HTTP/proxymachine.example.com'. Все работает нормально; Бег samba-tool компьютерное шоу PROXYMACHINE дает мне полную информацию.

Тем не менее, бег samba-tool домен exportkeytab complete.keytab не дает мне никаких ключей для SPN машины. Условия фильтрации также не работают. самба-инструмент говорит мне "Экспортировать два принципала в krb5.keytab", но файл даже не существует (хотя самба-инструмент выходит с RC 0).

Отличие присоединяемых компьютеров от этого в том, что там нет пароля. Так что я считаю, что это мощь быть виновником. Но я не знаю, как установить машинный пароль, и я не могу убедиться, что это действительно проблема - это может быть что-то еще.

Итак, итог: что мне нужно сделать, чтобы (1) управлять компьютером как «объектом инвентаризации» (учетной записью компьютера), (2) связать с ним имена участников-служб и (3) экспортировать их в таблицу ключей Kerberos? Или мой подход, возможно, совершенно неверен?

133

0 + 0

spn

самба4

Рейтинг:0

Server

Technaton

10.07.2023, 01:07

Пароль компьютера устанавливается путем присоединения к домену. Компьютеры управляют своими учетными записями, и на них даже могут распространяться политики. Однако сервер AD обычно не применяет политики так же, как в случае с учетной записью пользователя. Например, если машине не удастся изменить свой пароль, она не будет исключена из домена.

Что касается вопроса, исследования, пробы и ошибки в виртуальных машинах привели к следующим кандидатам на решение:

Просто используйте winbindd. Это означает установку пакета samba, настройку демона samba и запуск сетевая реклама присоединиться -k. Кажется, это традиционный способ, используемый почти во всех учебниках в сети. Плюсы: таблица ключей Kerberberos и поиск пользователей.
Использовать твердотельный накопитель, в частности, модуль sssd-ad. sssd также может присоединяться к доменам через своего поставщика AD.. Затем sssd будет использовать kerberos (для аутентификации) + LDAP (для поиска/авторизации пользователей).
Если вам не нужен поиск пользователя (как в исходной проблеме Squid), мсктутил может быть для вас. Он создает учетные записи пользователей и передает таблицы ключей, но не предоставляет демона для поиска пользователей.

Выбор между 1/2 и 3 был прост. на исходный вопрос: я выбрал (3), потому что мне не нужно было искать информацию о пользователе. Но если нужен поиск информации о пользователе, выбор между 1 и 2 не кажется очевидным. Redhat поддерживает sssd (см. https://www.redhat.com/en/blog/overview-direct-integration-options, SSSD против Winbind), утверждая, что sssd стабильнее и, наверное, быстрее. меня не раз кусали winbindd просто умирает из-за сетевых сбоев, так что я могу относиться к этому, но у меня нет веских доказательств.

0 + 0

Admin

Этот вопрос на других языках:

EN: Samba AD: Create keytab for computer without net ads join?

TH: โฆษณาแซมบ้า: สร้างแท็บคีย์สำหรับคอมพิวเตอร์โดยไม่มีโฆษณาสุทธิเข้าร่วมหรือไม่

RO: Samba AD: Creați tastatura pentru computer fără reclame nete?

RU: Samba AD: создать keytab для компьютера без присоединения к сетевой рекламе?

VI: Samba AD: Tạo keytab cho máy tính mà không cần tham gia quảng cáo net?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.