Домен/Kerberos: различия между версиями

Версия от 15:20, 20 февраля 2013

Страница посвящена проверки функционирования и нюансам использования Kerberos в домене ALT Linux

Служба Kerberos на сервере называется krb5kdc. Основной её чертой является крайняя немногословность, что затрудняет отладку.

Тикет Kerberos по умолчанию выдаётся не более чем на 1 сутки. Если хотите выдавать тикет больше, чем на сутки, пропишите
1. ```
max_life = 30d
```
  в файле /var/lib/kerberos/krb5kdc/kdc.conf (максимальный срок выдаваемого тикета — 30 дней)
2. на LDAP-сервере dn: krbPrincipalName=krbtgt/<ваш_домен>
```
krbMaxTicketLife: 2592000
```
  (срок выдаваемого тикета с сервера — 30 дней, указывается в количестве секунд)
3. Для указания периода возобновления тикета (хотя странно, имея такой «длинный» тикет, указывать период его обновления) параметры
```
max_renewable_life = 30d
```
  и krbMaxRenewableAge: 2592000 соответственно.
При использовании сервера или клиента домена на Седьмой платформе с клиентами или сервером ранних версий на новой системе пропишите в раздел [libdefaults] файла /etc/krb5.conf строку
```
allow_weak_crypto = true
```
Без этого с тикетами Kerberos будут проблемы.

TODO:

@@ Строка 12: / Строка 12: @@
 * При использовании сервера или клиента домена на Седьмой платформе с клиентами или сервером ранних версий '''на новой системе''' пропишите в раздел {{term|[libdefaults]}} файла {{path|/etc/krb5.conf}} строку <source lang="Ini">allow_weak_crypto = true</source>Без этого с тикетами Kerberos будут проблемы.
-{{TODO|* Отладка получения тикета: kinit, klist, kdestroy
+== TODO ==
+{{todo|* Отладка получения тикета: kinit, klist, kdestroy
 * Troubleshooting
 * kadmin.local