Добрый день.
Есть маленькое замечание, касающееся создания хостов nfsc и nfsd в Active Directory.
Organization Unit, где хранятся nfsc и nfsd, и верхние OU должны называться латиницей. В противном случае при создании keytab-а, вываливается следующая ошибка:
Password set failed! 0x00000020
Aborted.
Отличное замечание. Спасибо.
Привет, коллега.
Спасибо за полезные материалы. Сейчас как раз сдруживаю кальмара с АДом 
Кстати, через «kinit -k nfs/nfsc.domain.local» подключается не получится, даже если через указание юзера подключается.
А если добавить еще один ключик сюда — «-t /root/nfsckeytab», то все заводится.
Приветствую.
Да, тоже иногда с таким сталкивался, никак не было возможности допилить статью. Теперь сделал.
Спасибо.
здравствуйте. Подскажите пожалуйста, надо изначально создать учетную запись компьютера или юзера???
Я думаю, что не имеет значения последовательность создания учетных записей.
Привет! Отличные статьи, но не получается авторизоваться кейтабом на сквиде((( Выдаёт ошибку:
kinit: Client not found in Kerberos database while getting initial credentials
keytab создавал командой:
ktpass.exe /princ HTTP/ssmrsqd01.elsystems.local@ELSYSTEMS.LOCAL /mapuser ssmrsqd01$@ELSYSTEMS.LOCAL /crypto ALL /ptype KRB5_NT_PRINCIPAL /pass +rndpass /out C:\tmp\squid.keytab
Вывод консоли:
Targeting domain controller: SSMRDC001.elsystems.local
Successfully mapped HTTP/ssmrsqd01.elsystems.local to SSMRSQD01$.
WARNING: Account SSMRSQD01$ is not a user account (uacflags=0x1021).
WARNING: Resetting SSMRSQD01$’s password may cause authentication problems if SS
MRSQD01$ is being used as a server.
Reset SSMRSQD01$’s password [y/n]? y
Password succesfully set!
WARNING: pType and account type do not match. This might cause problems.
Key created.
Key created.
Key created.
Key created.
Key created.
Output keytab to C:\ssmrsqd01.keytab:
Keytab version: 0x502
keysize 73 HTTP/ssmrsqd01.elsystems.local@ELSYSTEMS.LOCAL ptype 1 (KRB5_NT_PRINC
IPAL) vno 4 etype 0x1 (DES-CBC-CRC) keylength 8 (0x01576eb97c7ad94c)
keysize 73 HTTP/ssmrsqd01.elsystems.local@ELSYSTEMS.LOCAL ptype 1 (KRB5_NT_PRINC
IPAL) vno 4 etype 0x3 (DES-CBC-MD5) keylength 8 (0x01576eb97c7ad94c)
keysize 81 HTTP/ssmrsqd01.elsystems.local@ELSYSTEMS.LOCAL ptype 1 (KRB5_NT_PRINC
IPAL) vno 4 etype 0x17 (RC4-HMAC) keylength 16 (0x85a6dea042798a45a547f8450e1115
fc)
keysize 97 HTTP/ssmrsqd01.elsystems.local@ELSYSTEMS.LOCAL ptype 1 (KRB5_NT_PRINC
IPAL) vno 4 etype 0x12 (AES256-SHA1) keylength 32 (0xfaec8c62c578afc38e241051605
9a11830b4d3475e7142fd1b1bd1679aa6be54)
keysize 81 HTTP/ssmrsqd01.elsystems.local@ELSYSTEMS.LOCAL ptype 1 (KRB5_NT_PRINC
IPAL) vno 4 etype 0x11 (AES128-SHA1) keylength 16 (0x19cb6cb315610d1128078eb1044
4183d)
В чем может быть причина? Какую ещё информацию предоставить? Голый kinit при этом работает и с паролем тикет получает.
Выводы команд вставляйте на pastebin.com.
Покажите, последовательно выводы:
1. создание keytab
2. перенос кейтаба на linux (как переносите)
3. конфигурацию /etc/krb5.conf
4. доказательства идентичности времени на клиенте и сервере (словам я верить перестал ))) )
5. вывод настройки сетевой части linux
1. Keytab нужно мапить только на уч. запись пользователя, кот. Domain User (и как-либо доп. настраивать ее не нужно). В Win 2012R2 утилита ktpass разрешает в /mapuser использовать только уч. запись пользователя (не компьютера).
2. Верся kvno для всех записей в ketrab файле должна быть одинаковая.
3. Для всех записей keytab рекомендуется указывть KRB5_NT_PRINCIPAL
4. Траблшутинг: На клиенте в отдельной сессии выполните rpc.gssd -fvvv а в другой выполните mount -t nfs4 -o rw,sec=krb5p server1:/nfs/secure/ /mnt/secure/
ПС. Связка Windows 2012R2 AD + NFS сервер Rhel 7.1 + NFS клиент 7.1 = работает. (все конфиги по умолчанию)
Спасибо за дополнения.
1. Но почему только на пользователя?
3. Откуда такая рекомендация?
Буду признателен за предоставление пруф линков.
Да это я понял.
Но эти операции не помогли.
Если выполнить kinit Admin
Авторизоваться по паролю.
Дальше Kerberos авторизация будет работать в сквиде.
Единственный камень предкновения этот keytab файл.
Напишу что я делал для его получения.
Мб что не так:
Создал DNS записи на linux сервер и обратные DNS записи
Синхронизировал время на linux с AD
Создал учетную запись в домене Windows 2008
squid3
Поставил её не истекаемый пароль
Получил keytab файл следующей компандой:
ktpass -princ HTTP/sq.mydomain.name@MYDOMAIN.NAME -mapuser squid3@MYDOMAIN.NAME -pass Pa$$word -ptype KRB_NT_PRINCIPAL -crypto ALL -out c:123squid3.keytab
(Пытался сделать через учетную запись ПК sq$@MYDOMAIN.NAME)
(Пытался сделать через msktutils)
(Пытался сделать через samba , net ads )
Получаю два типа ошибок.
1. Client Not Found in Kerberos database.. (не найден пользователь)
2. Keytab contains no suitable keys (не найдена пара ключей в файле)
Вот еще мой конфиг файл krb5.conf
Время сихнронизирую через ntpd, работает ntlm авторизация.
keytab копирую через WinSCP
У меня проблема один в один как у Андрея выше в 2014 году. Не знаю решилась она или нет…
Вообщем разобрался я в итоге утром ))
Дело было в том что я двумя дорогами шел к одной цели.
А как известно за двумя зайцами гонятся бесполезное занятие.
В итоге.
Я удалил всех пользователей на которых делал мапинг keytab через ktpass.
Проверил командой на AD: stspn -Q HTTP/sq.mydomain.name , что данный принципиал никуда не привязан.
Переввел samba в домен еще раз.
Создал keytab файл через samba, предварительно я авторизовался в домене через kinit admin, получив билет, это избавило от ввода пароля позднее, если этого не сделать надо везде писать -U admin
[code]
net ads keytab flush - очистить кейтаб
net ads keytab create - создать кейтаб
net ads keytab add HTTP - добавим принципал HTTP для прокси или веб сервера
net ads keytab list - посмотрим что получилось
[/code]
kdestroy — очистим все прошлые попытки логона.
kinit -V -k -t /etc/krb5.keytab HTTP/sq.mydomain.name@MYDOMAIN.NAME
Проверим что возможно войти по kytab файлу.
Дальше уже можно возвращаться в манулалы по сквиду.
Т.е. мой путь был через samba, т.е. Линкус машина уже была в домене АД.
«NFS посредствам Kerberos» — должно быть «NFS посредством Kerberos». 
Спасибо за интересный рассказ.
Да, иногда выспаться очень хорошо помогает )
Да, действительно )
Спасибо
Ошибка: kinit: krb5_get_init_creds: KDC has no support for encryption type
Решили проблему указав вручную тип алгоритма шифрования для билета:
kinit -e AES256-CTS-HMAC-SHA1-96 -k -t /usr/local/etc/squid/proxy.keytab HTTP/proxy.mydomain.local
Привет, коллега.
Спасибо за полезные материалы. Сейчас как раз сдруживаю кальмара с АДом
Кстати, через «kinit -k nfs/nfsc.domain.local» подключается не получится, даже если через указание юзера подключается.
А если добавить еще один ключик сюда — «-t /root/nfsckeytab», то все заводится.
В ответ на angel2s2.
Приветствую.
Да, тоже иногда с таким сталкивался, никак не было возможности допилить статью. Теперь сделал.
Спасибо.
здравствуйте. Подскажите пожалуйста, надо изначально создать учетную запись компьютера или юзера???