使用MIT Kerberos作为Windows AD域的帐户域

我们主要是通过Kerberoslogin的Linux用户。 但是我们也有less数(<50)使用Linux和Windows的用户。 这应该会在未来增长。 我们希望将我们的用户数据库保留在Unix / Kerberos端。

但由于某种原因,我不能得到它的工作呢。

阅读了一些指南(匿名域名)后,我做了以下工作:

1)将ADDC添加到Linux KDC和Linux主机上的/etc/krb5.conf

AD.DOMAIN = { kdc = PDC.AD.DOMAIN admin_server = PDC.AD.DOMAIN default_domain = ad.domain } 

2)在Linux端添加跨领域主体

 addprinc -pw <longPW> -requires_preauth krbtgt@AD.DOMAIN addprinc -pw <longPW> -requires_preauth krbtgt/LINUX.REALM@AD.DOMAIN addprinc -pw <longPW> -requires_preauth krbtgt/AD.DOMAIN@LINUX.REALM 

3)通过ksetup添加领域信息到Windows ADDC和其他Windows机器

 ksetup default realm = ad.domain (NT Domain) LINUX.REALM: kdc = kdc.linux.realm kpasswd = kdc.linux.realm Realm Flags = 0x0No Realm Flags Mapping all users (*) to a local account by the same name (*). 

4)在Windows端通过添加双向信任

 netdom trust /d:LINUX.REALM ad /add /PT:longPW /realm /twoway 

检查退货

 nltest /TRUSTED_DOMAINS List of domain trusts: 0: LINUX.REALM (MIT) (Direct Outbound) (Direct Inbound) ( Attr: non-trans ) 1: AD ad.domain (NT 5) (Forest Tree Root) (Primary Domain) (Native) The command completed successfully 

但也

 netdom trust lst /d:LINUX.REALM /verify /KERBEROS /twoway The command failed to complete successfully. 

5)添加映射到用户

 altSecurityIdentities for user ad\test shows kerberos: test@LINUX.REALM 

我可以login广告\testing(这不是我想要的),但我不能以test@LINUX.REALMlogin,这是我想要的

另一方面:

 kinit test@AD.DOMAIN Password for test@AD.DOMAIN: root@kdc:~# klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: test@AD.DOMAIN Valid starting Expires Service principal 21/07/2017 13:24 21/07/2017 23:24 krbtgt/AD.DOMAIN@AD.DOMAIN renew until 22/07/2017 13:24 

我的问题 :我不能在校长test@LINUX.REALM的Windows端login。 正如在主题中所写,我们希望Linux Realm成为帐户域,而不是AD,这也应该是可能的,不应该吗? 我们只希望在Linux Realm中处理帐户创build,删除等操作,让Windows用户使用他们的Linux帐户/密码login。

我错过了什么?

 ksetup /addhosttorealmmap .dns.domain LINUX.REALM 

在每个Windows客户端上大多解决了这个问题。

我现在可以用user@LINUX.REALM以正确的映射登录到Windows客户端。