PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Kerberos & Realms (Verständnisfrage)



47110815
11.11.08, 14:39
Hallo,

ich habe mehr oder weniger eine Verständnisfrage zu Kerberos.

In unserer DNS-Domäne, ich nenne sie jetzt einfach mal privat.local, gibt es eine Windows-AD und einen Linux-Server, der auch u. a. als Kerberos (MIT-Kerberos) und OpenAFS Server arbeitet.

Wie kann ich es anstellen, dass Linux-Clients sowohl auf den MIT-Kerberos Server zugreifen können, als auch auf die AD von Windows. Hier müssten doch eigentlich verschiedenen Realms ins Spiel kommen, oder?

Aber wie genau stelle ich das an? Kann ich für eine DNS-Domäne überhaupt verschiedene Realms haben? Und wenn ja, wie genau müsste ich die krb5.conf aufbauen?

Sorry, falls meine Frage etwas verwirrend ist, auf dem Gebiet Kerberos bin ich leider noch absoluter Anfänger :-(

Grüße & danke

47110815
12.11.08, 14:25
Hallo,

evtl. dient meine vorläufige /etc/krb5.conf ja zum besseren Verständnis worauf ich abziele ;-)

Die Windows-AD hat den Realm PRIVAT.LOCAL, der Linux-Server den Realm AFS.PRIVAT.LOCAL. Somit wären beide Kerberos Server nur für ihren entsprechenden Realm zuständig.

Was ich aber noch nicht so richtig weiß, ist ob der [domain_realm] Abschnitt stimmt , denn hier wären Hosts der Domain privat.local ein mal dem Realm PRIVAT.LOCAL und dann noch ein mal dem Realm AFS.PRIVAT.LOCAL untergeordnet. Geht so etwas überhaupt? :confused:


[libdefaults]
default_realm = PRIVAT.LOCAL

[realms]
PRIVAT.LOCAL = {
kdc = windc.privat.local
admin_server = windc.privat.local
}

AFS.PRIVAT.LOCAL = {
kdc = lnx.privat.local
admin_server = lnx.privat.local
}

[domain_realm]
.privat.local = PRIVAT.LOCAL
privat.local = PRIVAT.LOCAL
.privat.local = AFS.PRIVAT.LOCAL
privat.local = AFS.PRIVAT.LOCAL


Grüße & danke

hessijens
14.11.08, 09:45
Wie kann ich es anstellen, dass Linux-Clients sowohl auf den MIT-Kerberos Server zugreifen können, als auch auf die AD von Windows. Hier müssten doch eigentlich verschiedenen Realms ins Spiel kommen, oder?

Ich glaube, dass das was Du eigentlich suchst "Cross-Realm" bzw. "Inter Realm" ist.

http://www.h5l.org/manual/heimdal-1-1-branch/info/heimdal.html#Cross-realm

Der Link ist leider für Heimdal Kerberos. Mit MIT Kerberos sollte das auch gehen, aber hierfür finde ich auf die schnelle keine Anleitung.