Автор Тема: создание keytab файла в домене SAMBA AD  (Прочитано 816 раз)

Оффлайн rmp

  • Начинающий
  • *
  • Сообщений: 1
Доброго времени суток.
прошу помочь в решении следующей проблемы. Имеем сервер (srv01-v-adc01) в роли контролера домена Active Directory на базе Samba (имя домена: vrmp.ru). Домен настраивался по этой инструкции: ActiveDirectory/DC
Необходимо сформировать keytab файл для организации сквозной авторизации на pfSense (vst01-s-ps02). За основу была взята статья Создание SPN и Keytab файла

На DC создали пользователя squid и добавили ему SPN
[root@vst01-v-adc01 /]# samba-tool spn add HTTP/VST01-S-PS02.vrmp.ru squid

[root@vst01-v-adc01 /]# samba-tool spn list squid
squid
User CN=squid,CN=Users,DC=vrmp,DC=ru has the following servicePrincipalName:
         HTTP/VST01-S-PS02.vrmp.ru
экспортируем keytab:
[root@vst01-v-adc01 /]# samba-tool domain exportkeytab /tmp/keytab --principal=HTTP/VST01-S-PS02.vrmp.ru
Export one principal to /tmp/keytab
проверяем:
[root@vst01-v-adc01 /]# klist -ke /tmp/keytab
Keytab name: FILE:/tmp/keytab
KVNO Principal
---- --------------------------------------------------------------------------
   3 HTTP/VST01-S-PS02.vrmp.ru@VRMP.RU (aes256-cts-hmac-sha1-96)
   3 HTTP/VST01-S-PS02.vrmp.ru@VRMP.RU (aes128-cts-hmac-sha1-96)
   3 HTTP/VST01-S-PS02.vrmp.ru@VRMP.RU (DEPRECATED:arcfour-hmac)
 
пробуем авторизоваться:
[root@vst01-v-adc01 /]# kinit Administrator
Password for Administrator@VRMP.RU:
[root@vst01-v-adc01 /]# klist
Ticket cache: KEYRING:persistent:0:0
Default principal: Administrator@VRMP.RU

Valid starting       Expires              Service principal
20.09.2022 16:39:13  21.09.2022 02:39:13  krbtgt/VRMP.RU@VRMP.RU
        renew until 27.09.2022 16:39:05
[root@vst01-v-adc01 /]# kinit -V -k HTTP/VST01-S-PS02.vrmp.ru -t /tmp/keytab
Using new cache: persistent:0:krb_ccache_ybPW67y
Using principal: HTTP/VST01-S-PS02.vrmp.ru@VRMP.RU
Using keytab: /tmp/keytab
kinit: Client 'HTTP/VST01-S-PS02.vrmp.ru@VRMP.RU' not found in Kerberos database while getting initial credentials

Кто нибудь может объяснить, почему клиент HTTP/VST01-S-PS02.vrmp.ru@VRMP.RU не найден в базе Kerberos?