1 votes

Alexander Richter avatar

Confiance croisée entre Active Directory et MIT Kerberos

Demandé el 5 de Octobre, 2018
Quand la question a-t-elle été
1253 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je suis actuellement en train d'étendre mon environnement de développement, qui n'utilisait jusqu'à présent que des serveurs Linux, en ajoutant des machines exécutant Windows Server 2016. Le processus d'authentification est géré par MIT Kerberos. Pour les nouvelles machines Windows, je prévois d'utiliser Active Directory. Comme je ne veux pas gérer les utilisateurs dans deux systèmes, je suis en train de mettre en place une confiance croisée entre l'AD de Windows et l'installation MIT Kerberos déjà existante.

Pour ce faire, j'ai suivi ce guide : https://bluedata.zendesk.com/hc/en-us/articles/115007484067-How-To-Establish-Cross-Realm-Trust-from-MIT-KDC-to-AD .

J'ai remarqué que je peux obtenir un ticket de l'AD Windows pour un utilisateur de l'AD sur une machine linux : Exécution de kinit Administrator@AD.DOMAIN.LOCAL se termine sans aucune erreur et me donne un ticket comme prévu.

En revanche, je ne peux me connecter à aucune des machines Windows en utilisant un compte de la configuration Kerberos du MIT. J'essaie de me connecter en utilisant mon compte de test ( test@DOMAIN.LOCAL du domaine MIT DOMAIN.LOCAL) provoque l'erreur suivante :

"La base de données de sécurité du serveur ne dispose pas d'un compte d'ordinateur pour la relation de confiance de cette station de travail".

Une autre chose que je remarque est que lorsque j'essaie de vérifier la relation de confiance en utilisant la commande netdom trust DOMAIN.LOCAL /Domain:AD.DOMAIN.LOCAL /Kerberos /verbose /verify J'obtiens le message d'erreur suivant :

"Impossible de contacter le domaine DOMAIN.LOCAL. La commande n'a pas réussi à se terminer avec succès."

Il semble que l'AD de Windows soit incapable de communiquer avec l'installation Kerberos de MIT, ce qui semble étrange, car apparemment cela fonctionne dans l'autre sens. J'ai déjà vérifié deux fois que tous les enregistrements DNS (domain.local, ad.domain.local et les FQDN des KDC) correspondent aux bonnes adresses IP. En recherchant le problème, je suis tombé sur ce post https://stackoverflow.com/questions/45236577/using-mit-kerberos-as-account-domain-for-Windows-ad-domain qui semblait prometteur au début, mais qui n'a pas pu m'aider à résoudre mon problème. Toute aide est grandement appréciée !

Demandé el 5 de Octobre, 2018 par Alexander Richter

Réponse

Trop de publicités?

1voto

Ryan Bolger avatar
Ryan Bolger Points 16332

Je vous préviens que mes connaissances dans ce domaine sont extrêmement anciennes. Comme le début des années 2000, Windows 2003 ère Active Directory. Les choses peuvent donc fonctionner différemment aujourd'hui.

Le principal problème est que Windows ne sait pas comment trouver le KDC de votre domaine MIT par défaut (ironiquement, il n'utilisera pas simplement le DNS pour le rechercher comme il le fait pour AD). Il existe un utilitaire appelé ksetup.exe qui vous permettra de mapper un nom de domaine à un ou plusieurs serveurs KDC. En fin de compte, cet utilitaire ne fait que définir certaines valeurs de registre. Vous pouvez donc automatiser cette opération avec la stratégie de groupe si nécessaire.

Mise à jour : @grawity a mentionné que Windows peut en fait être capable de trouver les KDCs via le DNS tant que les enregistrements SRV appropriés existent et que ksetup a été utilisé pour au moins définir le domaine.

Nous avions également ce qui était essentiellement des comptes "fantômes" dans AD qui correspondaient aux utilisateurs définis dans le domaine MIT. Les mots de passe de ces comptes n'avaient pas d'importance, ils devaient simplement exister. Il se peut que nous ayons également défini des attributs supplémentaires tels que UPN ou SPN qui étaient liés au domaine MIT d'une manière ou d'une autre. Mais mes souvenirs sont flous.

Il faut également tenir compte des types de cryptage pris en charge entre AD et votre domaine MIT. Si les deux sont assez récents, tout ira probablement bien. Mais lorsque nous avons réalisé cette opération, notre domaine MIT était ancien et nous avons dû ajouter une stratégie de groupe dans AD pour ajouter certains types de cryptage anciens pris en charge par le domaine MIT.

J'espère que cela vous permettra d'avancer dans la bonne direction.

Répondu el 5 de Octobre, 2018 par Ryan Bolger (16332 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X