înregistrare Logare
Puncte:0
avatar Server

Samba AD: Creați tastatura pentru computer fără reclame nete?

drapel cn
Technaton

Esenta: Am configurat o samba ca AD DC. Aș dori să export un keytab pentru SPN-uri numai pentru un cont de computer fără având computerul pentru a rula Samba în sine, sau problemă reclame net se alătură. Alergare samba-tool domain exportkeytab nu îmi dă chei pentru SPN-uri și cred că este pentru că nu există o parolă pentru mașină. Cum pot repara asta?

Varianta lunga: Am configurat un Samba ca controler de domeniu principal AD cu funcții complete. Autentificarea utilizatorului funcționează, DNS funcționează etc., așa că sunt destul de sigur că serverul în sine este ok. În plus, există deja două mașini alăturate domeniului și tasta-cheie funcționează, așa că probabil că serverul nu este de vină, ci PEBKAC.

Acum am un cache Squid care rulează FreeBSD și aș dori să configurez autentificarea Kerberos pentru proxy.Nu vreau să rulez Samba pe această mașină - nu există niciun motiv pentru asta. Așa că m-am gândit că crearea unui cont de computer, setarea SPN-urilor și exportul keytab-ului ar putea funcționa, dar nu a funcționat.

Mai exact, alerg computer samba-tool adăugați PROXYMACHINE --ip-address=172.19.9.22 --ip-address=dead:beef:cafe::22 --service-principal-name='host/proxymachine.example.com' --service- principal-name='HTTP/proxymachine.example.com'. Totul funcționează bine; alergare samba-tool computer show PROXYMACHINE imi ofera informatiile complete.

Cu toate acestea, alergând domeniul samba-tool exportkeytab complete.keytab nu îmi dă nicio cheie pentru SPN-urile mașinii. Nici condițiile de filtrare nu funcționează. samba-instrument îmi spune „Exportați doi principali în krb5.keytab”, dar fișierul nici măcar nu există (chiar dacă samba-instrument iese cu RC 0).

Diferența dintre computerele conectate și acesta este că nu există o parolă. Deci cred că asta ar putea fii vinovat. Dar nu știu cum să setez o parolă pentru mașină și nu pot verifica dacă aceasta este de fapt problema - ar putea fi altceva.

Deci, concluzie: ce trebuie să fac pentru (1) să gestionez un computer ca „articol de inventar” (cont de computer), (2) să asociez SPN-uri cu acesta și (3) să le export într-o tablă de chei Kerberos? Sau poate abordarea mea este complet greșită?

133
0 + 0
spn
Puncte:0
avatar Server
drapel cn
Technaton

O parolă pentru computer este setată prin alăturarea unui domeniu. Calculatoarele își gestionează conturile și chiar pot face obiectul politicilor. Cu toate acestea, un server AD de obicei nu aplică politici în același mod ca și cu un cont de utilizator. De exemplu, dacă aparatul nu își schimbă parola, acesta nu va fi exclus din domeniu.

În ceea ce privește întrebarea, cercetarea și încercarea și eroarea în VM au condus la următorii candidați pentru soluții:

  1. Folosește pur și simplu winbindd. Aceasta înseamnă instalarea suitei samba, configurarea demonului samba și emiterea reclame net se alătură -k. Se pare că este modul tradițional folosit de aproape toate tutorialele de pe net. Pro: O tablă de chei kerberberos și o căutare a utilizatorilor.
  2. Utilizare sssd, în special, modulul sssd-ad. sssd se poate alătura unor domenii și prin furnizorul său AD. sssd va folosi apoi kerberos (pentru autentificare) + LDAP (pentru căutarea/autorizarea utilizatorilor).
  3. În cazul în care nu aveți nevoie de căutarea utilizatorului (ca și în cazul problemei originale Squid), msktutil ar putea fi pentru tine. Acesta creează conturi de utilizator și transferă keytab-uri, dar nu oferă un demon pentru căutarea utilizatorilor.

A alege între 1/2 și 3 a fost ușor. la întrebarea inițială: am ales (3), deoarece nu a fost nevoie să caut informații despre utilizator. Dar dacă avem nevoie de căutări de informații despre utilizator, alegerea între 1 și 2 nu părea evidentă. Redhat susține sssd (cf. https://www.redhat.com/en/blog/overview-direct-integration-options, SSSD vs. Winbind), argumentând că sssd este mai stabil și probabil mai rapid. Am fost mușcat de mai multe ori winbindd pur și simplu mor din cauza erorilor de rețea, așa că mă pot raporta la asta, dar nu am nicio dovadă concretă.

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.