web-dev-qa-db-ja.com

ActiveDirectoryとMIT Kerberos)間のクロスレルム信頼

現在、Windows Server 2016を実行するマシンを追加することにより、これまでLinuxサーバーのみを実行していた開発環境を拡張するプロセスを進めています。認証プロセスはMITKerberosによって処理されます。新しいWindowsマシンでは、ActiveDirectoryの使用を計画しています。 2つのシステムでユーザーを管理したくないので、WindowsADと既存のMITKerberosインストールとの間にレルム間の信頼を設定しています。

そのために、私はこのガイドに従いました: https://bluedata.zendesk.com/hc/en-us/articles/115007484067-How-To-Establish-Cross-Realm-Trust -from-MIT-KDC-to-AD

これで、LinuxマシンのADからユーザーのWindowsADからチケットを取得できることに気付きました。kinit [email protected]の実行はエラーなしで完了し、期待どおりにチケットを受け取ります。

一方、MITKerberosセットアップのアカウントを使用してWindowsマシンにログインすることはできません。テストアカウント(MITレルムDOMAIN.LOCALからの[email protected])を使用してログインしようとすると、次のエラーがスローされます。

「サーバー上のセキュリティデータベースには、このワークステーションの信頼関係のためのコンピューターアカウントがありません」。

私が気付いているもう1つのことは、コマンドnetdom trust DOMAIN.LOCAL /Domain:AD.DOMAIN.LOCAL /Kerberos /verbose /verifyを使用して信頼関係を確認しようとすると、次のエラーメッセージが表示されることです。

ドメインDOMAIN.LOCALに接続できません。コマンドを正常に完了できませんでした。」

WindowsADがMIT Kerberosインストールと通信できないようですが、これは明らかに逆の方法で機能するため、奇妙に思えます。すべてのDNSレコード(domain.local、ad.domain.local、およびKDCのFQDN)が正しいIPアドレスに解決されることをすでに再確認しました。問題を調査しているときに、この投稿に出くわしました https://stackoverflow.com/questions/45236577/using-mit-kerberos-as-account-domain-for-windows-ad-domain 、最初は有望に見えましたが、問題を解決するのに役立ちませんでした。どんな助けでも大歓迎です!

1

戒厳令、この分野での私の知識はこの時点で非常に古くなっています。 2000年代初頭のように、Windows2003時代のActiveDirectory。そのため、現在は動作が異なる可能性があります。

主な問題は、WindowsがデフォルトでMITレルムのKDCを見つける方法を知らないことです(皮肉なことに、ADの場合のようにDNSを使用して検索するだけではありません)。 ksetup.exe というユーティリティがあり、レルム名を1つ以上のKDCサーバーにマップできます。最終的に、このユーティリティはいくつかのレジストリ値を設定するだけです。したがって、必要に応じてグループポリシーを使用してこれを自動化できます。

更新:@grawityは、適切なSRVレコードが存在し、少なくともレルムを定義するためにksetupが使用されている限り、Windowsが実際にDNS経由でKDCを見つけることができる可能性があると述べました。

また、MITレルムで定義されたユーザーと一致する、ADの本質的に「シャドウ」アカウントであったものもありました。これらのアカウントのパスワードは重要ではなく、存在する必要がありました。また、何らかの方法でMITレルムに関連するUPNやSPNなどの追加の属性を設定した可能性もあります。しかし、記憶はかすんでいます。

注意すべきもう1つの点は、ADとMITレルム間でサポートされている暗号化タイプです。両方ともかなり最近のものであれば、おそらく大丈夫でしょう。しかし、これを行っていたとき、MITレルムは古く、ADにグループポリシーを追加して、MITレルムがサポートするいくつかのレガシー暗号化タイプを追加する必要がありました。

うまくいけば、これはあなたが正しい方向に進むようになるはずです。

1
Ryan Bolger