Домен/Kerberos

Материал из ALT Linux Wiki
< Домен
Версия от 15:05, 20 февраля 2013; АндрейЧерепанов (обсуждение | вклад) (Новая страница: «Страница посвящена проверки функционирования и нюансам использования [http://ru.wikipedia.org/wiki/Kerb...»)
(разн.) ← Предыдущая версия | Текущая версия (разн.) | Следующая версия → (разн.)

Страница посвящена проверки функционирования и нюансам использования Kerberos в домене ALT Linux

Сервер

Служба Kerberos на сервере называется krb5kdc. Основной её чертой является крайняя немногословность, что затрудняет отладку.

Нюансы работы

  • Тикет Kerberos по умолчанию выдаётся не более чем на 1 сутки. Если хотите выдавать тикет больше, чем на сутки, пропишите
    1. max_life = 30d
      
      в файле /var/lib/kerberos/krb5kdc/kdc.conf (максимальный срок выдаваемого тикета — 30 дней)
    2. на LDAP-сервере dn: krbPrincipalName=krbtgt/<ваш_домен>
      krbMaxTicketLife: 2592000
      
      (срок выдаваемого тикета с сервера — 30 дней, указывается в количестве секунд)
    3. Для указания периода возобновления тикета (хотя странно, имея такой «длинный» тикет, указывать период его обновления) параметры
      max_renewable_life = 30d
      
      и krbMaxRenewableAge: 2592000 соответственно.
  • При использовании сервера или клиента домена на Седьмой платформе с клиентами или сервером ранних версий на новой системе пропишите в раздел [libdefaults] файла /etc/krb5.conf строку
    allow_weak_crypto = true
    
    Без этого с тикетами Kerberos будут проблемы.

Шаблон:TODO