Hallo Leute

ich hab ein kleines Problem

ich hab ein Crossrealm bei Kerberos (bidirektional) zwischen MS - AD + MIT Kerberos


ich kann mich brav einloggen beim AD wo die User sind und bekomm mein TGT.

nun will ich auf einen Service der nur in der Domain (ist die echte TLD) des MIT.

Der AD Realm ist blabla.local, MIT Kerberos hat dann blabla.ch

Ich bekomme wenn ich mit Shiira (mac Browser) mich auf die Kerberisierte website bewege - (Es liegt nicht am browser, Shiira schickt überall Kerberos!) bekomm ich ein TGT aus dem MIT Realm - wohl vom AD-KDC geschickt.

so wies aussieht versucht mein dummerchen auch eine verbindung zum MIT-KDC; nur 1) meldet sich dort NIX im log (wirklich, NIX)

2) bekomm ich kein service ticket und damit n' 401

3) Ich kann versuchen mit manuell:
kinit -S HTTP/webapp.blabla.ch@BLABLA.CH user@BLABLA.LOCAL ein ServiceTicket zu holen (tickets zu holen innerhalb von BLABLA.LOCAL geht 1a)

Kommentar hierzu:

"Kerberos Login Failed: Server not found in Kerberos database"


d.h irgendwie begreift mein Kerberos auf dem Client nicht das er nun das ticket in die hand nehmen soll und zum blabla.ch kdc gehen soll.

das /etc/krb5.conf sieht so aus:




[logging]
kdc = FILE:/var/log/kerberos/krb5kdc.log
admin_server = FILE:/var/log/kerberos/kadmin.log
default = FILE:/var/log/kerberos/krb5lib.log
[libdefaults]
ticket_lifetime = 24000
default_realm = BLABLA.LOCAL
default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc

[realms]
BLABLA.CH = {
kdc = kdc.BLABLA.ch
admin_server = kdc.BLABLA.ch
default_domain = BLABLA.CH
}

BLABLA.LOCAL = {
kdc = x.BLABLA.local
admin_server = x.BLABLA.local
default_domain = BLABLA.LOCAL
}

[domain_realm]
.kdc.BLABLA.ch = BLABLA.CH
kdc.BLABLA.ch = BLABLA.CH
.x.BLABLA.local = BLABLA.LOCAL
x.BLABLA.local = BLABLA.LOCAL

[capaths]
BLABLA.CH = {
BLABLA.LOCAL = .
}

BLABLA.LOCAL = {
BLABLA.CH = .
}


Hat jemand ne clue? ich steh auf dem schlauch!