web-dev-qa-db-ja.com

domain_realmはドメインコントローラーまたはKDCを指す必要がありますか、それともdefault_realm名だけですか?

/etc/krb5.confでは、次のdefault_realmが与えられた場合、[realms].default_domaindefault_realmまたはドメインコントローラー(DC)またはキー配布デンター(KDC)を指す必要がありますか?

adaとadbは、Windows ServerDCとKDCです。ドメインメンバーは、サポートされているUbuntu Serverリリースを実行しているシステムであり、SambaおよびWinbindを介してドメインメンバーとして参加しています。

DCは、sshを介してログインし、Ubuntuサーバーに存在するSMB共有にアクセスするための認証を提供します。これは、さまざまなUbuntuサーバーでアクセスできるドメインユーザーとグループを制御するために使用されます。

例1:

[libdefaults]
ticket_lifetime = 24h
default_realm = DEPT.EXMAMPLE.COM
default_tgs_entypes = rc4-hmac des-cbc-md5
default_tkt__enctypes = rc4-hmac des-cbc-md5
permitted_enctypes = rc4-hmac des-cbc-md5
dns_lookup_realm = false
dns_lookup_kdc = true
dns_fallback = yes

[realms]
DEPT.EXMAMPLE.COM = {
  kdc = ada.dept.example.com
  kdc = adb.dept.example.com
  admin_server = ada.dept.example.com
  master_kdc = ada.dept.example.com
  default_domain = dept.example.com
}

[domain_realm]
.dept.example.com = DEPT.EXMAMPLE.COM
dept.example.com = DEPT.EXMAMPLE.COM

Ex2

[libdefaults]
ticket_lifetime = 24h
default_realm = DEPT.EXMAMPLE.COM
default_tgs_entypes = rc4-hmac des-cbc-md5
default_tkt__enctypes = rc4-hmac des-cbc-md5
permitted_enctypes = rc4-hmac des-cbc-md5
dns_lookup_realm = false
dns_lookup_kdc = true
dns_fallback = yes

[realms]
DEPT.EXMAMPLE.COM = {
  kdc = ada.dept.example.com
  kdc = adb.dept.example.com
  admin_server = ada.dept.example.com
  master_kdc = ada.dept.example.com
  default_domain = dept.example.com
}

[domain_realm]
.dept.example.com = ADA.DEPT.EXMAMPLE.COM
dept.example.com = ADA.DEPT.EXMAMPLE.COM

どちらの構成も多くのUbuntuサーバーで機能するようですが、その理由、またはどちらが正しいのかわかりません。

ubuntuactive-directorysambawinbindpam-krb
1
Louis Waweru

Ex1は正しく、ex2は無効です。

Manページから:

[レルム]
特定のレルムのKerberosサーバーの場所、およびその他のレルム固有の情報を説明するKerberosレルム名をキーとするサブセクションが含まれています。
[domain_realm]
サブドメインとドメイン名をKerberosレルム名にマップする関係が含まれています。これは、完全修飾ドメイン名を指定して、ホストがどのレルムにあるべきかを決定するためにプログラムによって使用されます。

およびDOMAIN_REALMセクションの詳細:

[domain_realm]セクションは、ホスト名からそのホストによって提供されるサービスのKerberosレルム名への変換を提供します。

タグ名は、ホスト名またはドメイン名にすることができます。ドメイン名は、ピリオド( '。')文字のプレフィックスで示されます。リレーションの値は、その特定のホストまたはドメインのKerberosレルム名です。ホスト名とドメイン名は小文字にする必要があります。

翻訳エントリが適用されない場合、ホストのレルムはホスト名のドメイン部分と見なされます

したがって、(K)DCを直接指すのではなく、レルムを指す必要があり、default_realmよりも少し具体的なマッピングです。簡単なセットアップでは、.dept.example.com = DEPT.EXMAMPLE.COMは、適用する翻訳エントリがない場合に発生することです。
思考dept.example.com = DEPT.EXMAMPLE.COMが起動する可能性がありますが、レルムEXMAMPLE.COMの定義が見つからない場合に使用するグローバルdefault_realmが指定されているため、これが必要かどうかは疑問です。

1
EOhm