URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 86113
[ Назад ]

Исходное сообщение
"Kerberos ftp и Active Directory"
Отправлено bas , 28-Июл-09 18:30

Подключал CentOS в домен Active Directory(2003). Аутентификация средствам winbind и kerberos.
Никаких проблем все по самба-шарам лазят через ssh ходят в общем в ажуре. Стал вопрос о поднятии ftp сервиса, и все тут грабли
ftp localhost
334 Using authentication type GSSAPI; ADAT must follow
GSSAPI accepted as authentication type
GSSAPI error major: Unspecified GSS failure. Minor code may provide more information
GSSAPI error minor: No such file or directory
GSSAPI error: acquiring credentials
GSSAPI ADAT failed
GSSAPI authentication failed
334 Using authentication type KERBEROS_V4; ADAT must follow
KERBEROS_V4 accepted as authentication type
Kerberos V4 krb_mk_req failed: You have no tickets cached
Полез читать мануал Кербероса, оказалось вроде как нужен service key с именем ftp.(http://security.fnal.gov/StrongAuth/UserDocs/hostkeys.htm) Как его создать в Active Directory?

Содержание

Kerberos ftp и Active Directory,ALex_hha, 19:06 , 28-Июл-09
- Kerberos ftp и Active Directory,bas, 10:16 , 29-Июл-09
  - Kerberos ftp и Active Directory,bas, 11:11 , 29-Июл-09
    - Kerberos ftp и Active Directory,ALex_hha, 16:03 , 29-Июл-09
      - Kerberos ftp и Active Directory,bas, 16:14 , 29-Июл-09

Сообщения в этом обсуждении

"Kerberos ftp и Active Directory"
Отправлено ALex_hha , 28-Июл-09 19:06

>[оверквотинг удален]
>GSSAPI error minor: No such file or directory
>GSSAPI error: acquiring credentials
>GSSAPI ADAT failed
>GSSAPI authentication failed
>334 Using authentication type KERBEROS_V4; ADAT must follow
>KERBEROS_V4 accepted as authentication type
>Kerberos V4 krb_mk_req failed: You have no tickets cached
>
>Полез читать мануал Кербероса, оказалось вроде как нужен service key с именем
>ftp.(http://security.fnal.gov/StrongAuth/UserDocs/hostkeys.htm) Как его создать в Active Directory?
Думаю тебе нужно создать SPN для твоего FTP

"Kerberos ftp и Active Directory"
Отправлено bas , 29-Июл-09 10:16

>[оверквотинг удален]
>>GSSAPI ADAT failed
>>GSSAPI authentication failed
>>334 Using authentication type KERBEROS_V4; ADAT must follow
>>KERBEROS_V4 accepted as authentication type
>>Kerberos V4 krb_mk_req failed: You have no tickets cached
>>
>>Полез читать мануал Кербероса, оказалось вроде как нужен service key с именем
>>ftp.(http://security.fnal.gov/StrongAuth/UserDocs/hostkeys.htm) Как его создать в Active Directory?
>
>Думаю тебе нужно создать SPN для твоего FTP
Это через ktpass ?

"Kerberos ftp и Active Directory"
Отправлено bas , 29-Июл-09 11:11

Спасибо ALex_hha ето именно то что мне было нужно.

"Kerberos ftp и Active Directory"
Отправлено ALex_hha , 29-Июл-09 16:03

>Спасибо ALex_hha ето именно то что мне было нужно.
Ну так приведи пример, как создавал, чтобы другие люди тоже знали, как решить проблему ;)

"Kerberos ftp и Active Directory"
Отправлено bas , 29-Июл-09 16:14

Создается пользователь с именем машины(написано у мелкософта с другим не проверял) далее служба будет авторизироваться как етот пользователь.
Далее выполняем:
ktpass -princ ftp/linux.win.loc@win.loc -mapuser linux -pass **** -out c:\linux.keytab
Файл скидываем на линух и импортируем с помощью Ktutil.