Суть: Я настроил самбу как AD DC. Я хочу экспортировать keytab для SPN только для учетной записи компьютера без наличие компьютера для запуска самбы или проблемы чистая реклама присоединиться
. Бег samba-tool домен exportkeytab
не дает мне ключей для SPN, и я считаю, что это потому, что нет машинного пароля. Как я могу это исправить?
Длинная версия: Я настроил Samba в качестве полнофункционального основного контроллера домена AD. Аутентификация пользователя работает, DNS работает и т.д., так что я вполне уверен, что сам сервер в порядке. Кроме того, в домене уже есть две машины, и keytab у них работает, так что скорее всего виноват не сервер, а PEBKAC.
Теперь у меня есть кеш Squid под управлением FreeBSD, и я хотел бы настроить аутентификацию Kerberos для прокси.Я не хочу запускать Samba на этой машине - для этого нет причин. Поэтому я подумал, что создание учетной записи компьютера, установка имен SPN и экспорт таблицы ключей могут сработать, но это не сработало.
В частности, я бегу компьютер samba-tool добавить PROXYMACHINE --ip-address=172.19.9.22 --ip-address=dead:beef:cafe::22 --service-principal-name='host/proxymachine.example.com' --service- имя-основного = 'HTTP/proxymachine.example.com'
. Все работает нормально; Бег samba-tool компьютерное шоу PROXYMACHINE
дает мне полную информацию.
Тем не менее, бег samba-tool домен exportkeytab complete.keytab
не дает мне никаких ключей для SPN машины. Условия фильтрации также не работают. самба-инструмент
говорит мне "Экспортировать два принципала в krb5.keytab", но файл даже не существует (хотя самба-инструмент
выходит с RC 0).
Отличие присоединяемых компьютеров от этого в том, что там нет пароля. Так что я считаю, что это мощь быть виновником. Но я не знаю, как установить машинный пароль, и я не могу убедиться, что это действительно проблема - это может быть что-то еще.
Итак, итог: что мне нужно сделать, чтобы (1) управлять компьютером как «объектом инвентаризации» (учетной записью компьютера), (2) связать с ним имена участников-служб и (3) экспортировать их в таблицу ключей Kerberos? Или мой подход, возможно, совершенно неверен?