Score:0

ไม่สามารถรับข้อมูลประจำตัวสำหรับบัญชีคอมพิวเตอร์ - ไม่พบไคลเอนต์ในฐานข้อมูล kerberos

ธง mm

ฉันเข้าร่วมเครื่อง Ubuntu (Ubuntu 20.04 LTS) กับ Active Directory สำเร็จแล้ว ดังนั้น ฉันสามารถเข้าสู่ระบบด้วยบัญชี AD รับและต่ออายุตั๋ว Grantin Ticket สำหรับผู้ใช้ และเข้าถึงการแชร์เครือข่ายด้วยการตรวจสอบสิทธิ์ Kerberos

อย่างไรก็ตาม ฉันต้องดิ้นรนเพื่อให้ได้ข้อมูลประจำตัวเริ่มต้นสำหรับบัญชีคอมพิวเตอร์:

admin@comp01:~$ sudo KRB5_TRACE=/dev/stdout kinit -kt /etc/krb5.keytab
[sudo] รหัสผ่านสำหรับผู้ดูแลระบบ:
[232252] 1645435537.855061: รับข้อมูลรับรองเริ่มต้นสำหรับ host/[email protected]
[232252] 1645435537.855062: ค้นหา etypes ในแท็บคีย์: rc4-hmac, aes128-cts, aes256-cts
[232252] 1645435537.855064: กำลังส่งคำขอที่ไม่ผ่านการรับรองความถูกต้อง
[232252] 1645435537.855065: กำลังส่งคำขอ (187 ไบต์) ไปยัง COMPANY.LAN
[232252] 1645435537.855066: กำลังส่งคำขอ UDP เริ่มต้นไปที่ dgram 172.27.17.6:88
[232252] 1645435537.855067: ได้รับคำตอบ (84 ไบต์) จาก dgram 172.27.17.6:88
[232252] 1645435537.855068: คำตอบมาจากมาสเตอร์ KDC
[232252] 1645435537.855069: ได้รับข้อผิดพลาดจาก KDC: -1765328378/ไม่พบไคลเอ็นต์ในฐานข้อมูล Kerberos
kinit: ไม่พบไคลเอนต์ 'host/[email protected]' ในฐานข้อมูล Kerberos ขณะรับข้อมูลประจำตัวเริ่มต้น

ฉันใช้เวลาหลายชั่วโมงกับปัญหานั้นโดยไม่มีความคืบหน้า ฉันอาจขาดขั้นตอนสำคัญบางอย่าง หลักการที่ร้องขอมีอยู่ในแท็บคีย์บนเครื่องบนเครื่องอูบุนตู:

root@comp01:~$ klist -kte
ชื่อแท็บคีย์: FILE:/etc/krb5.keytab
อาจารย์ใหญ่ประทับเวลา KVNO
----- --------------------- --------------------------- ---------------------------
   4 17/02/2022 07:34:59 [email protected] (arcfour-hmac)
   4 17/02/2022 07:34:59 [email protected] (aes128-cts-hmac-sha1-96)
   4 17/02/2022 07:34:59 [email protected] (aes256-cts-hmac-sha1-96)
   4 17/02/2022 07:34:59 น. host/[email protected] (arcfour-hmac)
   4 17/02/2022 07:34:59 น. host/[email protected] (aes128-cts-hmac-sha1-96)
   4 17/02/2022 07:34:59 น. host/[email protected] (aes256-cts-hmac-sha1-96)
   4 17/02/2022 07:34:59 น. host/[email protected] (arcfour-hmac)
   4 17/02/2022 07:34:59 น. host/[email protected] (aes128-cts-hmac-sha1-96)
   4 17/02/2022 07:35:00 host/[email protected] (aes256-cts-hmac-sha1-96)
   4 17/02/2022 07:35:00 จำกัดKrbHost/[email protected] (arcfour-hmac)
   4 17/02/2022 07:35:00 จำกัดKrbHost/[email protected] (aes128-cts-hmac-sha1-96)
   4 17/02/2022 07:35:00 จำกัดKrbHost/[email protected] (aes256-cts-hmac-sha1-96)
   4 17/02/2022 07:35:00 RestrictedKrbHost/[email protected] (arcfour-hmac)
   4 17/02/2022 07:35:00 จำกัดKrbHost/[email protected] (aes128-cts-hmac-sha1-96)
   4 17/02/2022 07:35:00 จำกัดKrbHost/[email protected] (aes256-cts-hmac-sha1-96)

และหลักการยังลงทะเบียนใน AD-Domain controller:

> setspn -L comp01
การลงทะเบียน Dienstprinzipalnamen (SPN) für CN=COMP01,CN=Computers,DC=company,DC=lan:
            จำกัดKrbHost/comp01.company.lan
            host/comp01.company.lan
            KrbHost/COMP01 ที่จำกัด
            โฮสต์/COMP01

เครื่องอูบุนตูเข้าร่วม AD-Domain โดยใช้

> อาณาจักร เข้าร่วม company.lan

และไฟล์การกำหนดค่า Kerberos เป็นดังนี้:

[libdefaults]
        default_realm = COMPANY.LAN
        ccache_type = 4
        ส่งต่อได้ = จริง
        ใกล้เคียง = จริง
        fcc-mit-ticketflags = จริง
[อาณาจักร]
        COMPANY.LAN = {
                kdc = DC.company.lan
                admin_server = DC.company.lan
                default_domain = company.lan
        }
[domain_realm]
        .company.lan = บริษัท.LAN
        company.lan = COMPANY.LAN

DNS ไปข้างหน้าและย้อนกลับก็ดูดีเช่นกัน:

> nslookup comp01
เซิร์ฟเวอร์: DC.company.lan
ที่อยู่: 172.27.17.41

ชื่อ: comp01.company.lan
ที่อยู่: 172.27.17.131

> nslookup 172.27.17.131
เซิร์ฟเวอร์: DC.company.lan
ที่อยู่: 172.27.17.41

ชื่อ: comp01.company.lan
ที่อยู่: 172.27.17.131

ฉันรู้สึกขอบคุณจริง ๆ สำหรับคำแนะนำใด ๆ ที่แนะนำฉันไปในทิศทางที่ถูกต้อง

Semicolon avatar
jo flag
ไวยากรณ์ที่ใช้ได้สำหรับฉันที่แปลไปยังเครือข่ายของคุณ (ใช้ sAMAccountName ของอ็อบเจ็กต์คอมพิวเตอร์ ที่ FQDN ของโดเมน: " kinit -k [email protected]
mm flag
@Semicolon ฉันได้ลองต่อไปนี้แล้ว (ฉันคิดว่าตำแหน่งของเครื่องหมายดอลลาร์อยู่หลังชื่อคอมพิวเตอร์โดยเจตนา): `kinit -kt /etc/krb5.keytab [email protected]` `kinit -kt /etc/ krb5.keytab [email protected]` และ `kinit -kt /etc/krb5.keytab [email protected]` ความพยายามทั้งหมดจบลงด้วยผลลัพธ์ต่อไปนี้: `kinit: Keytab ไม่มีคีย์ที่เหมาะสมสำหรับ COMP01@COMPANY LAN ขณะรับข้อมูลประจำตัวเริ่มต้น เฉพาะชื่อหลักเท่านั้นที่แตกต่างกัน: [email protected], [email protected] และ [email protected]
Calchas avatar
br flag
คุณได้รับแท็บคีย์นี้มาได้อย่างไร โปรดทราบว่าดอลลาร์เป็นอักขระพิเศษในเปลือก POSIX ดังนั้นคุณจะต้องหลีกเลี่ยงมัน วิธีที่ดีกว่าในการตรวจสอบว่ามีตัวหลักอยู่ในฐานข้อมูลหรือไม่โดยใช้เครื่องมือ `kvno`
mm flag
@Semicolon คุณพูดถูก แต่ฉันตาบอดเกินกว่าจะมองเห็นวิธีแก้ปัญหา ข้อผิดพลาด: ฉันต้องทำเครื่องหมายถูกรอบตัวระบุ มิฉะนั้น $ จะถูกแทนที่ด้วย "COMPANY.LAN" ซึ่งนำไปสู่ข้อมูลประจำตัวที่แปลกในความคิดเห็นก่อนหน้าของฉัน ฉันเพิ่งตระหนักถึงปัญหาหลังจากคำตอบจาก @ user1686 ดังนั้น คำสั่งสำเร็จในการรับตั๋วคือ `kinit -kt /etc/krb5.keytab '[email protected]'` ขอบคุณมากสำหรับความช่วยเหลือของคุณ!
Score:1
ธง fr

ด้วย Kerberos ที่มีรสชาติของ Active Directory จะมีความแตกต่างระหว่างชื่อหลัก "ผู้ใช้" (ไคลเอนต์) และ "บริการ" (เป้าหมาย) โดยเฉพาะ เท่านั้น sAMAccountName ของบัญชีสามารถทำหน้าที่เป็นลูกค้าหลักได้ แต่ SPN ไม่สามารถ

ชื่อบัญชีของอ็อบเจ็กต์คอมพิวเตอร์จะเป็นชื่อโฮสต์ในตัวพิมพ์ใหญ่เสมอ และต่อท้ายด้วย a $, เช่น. สำหรับคอมพิวเตอร์ชื่อ "COMP01" ชื่อบัญชีจะเป็น COMP01$.

ในขณะเดียวกัน โฮสต์/comp01 และ host/comp01.company.lan มีอยู่เฉพาะในฐานะ บริการ หลักการ â AD KDC จะออกตั๋วสำหรับไคลเอนต์ที่ร้องขอ "โฮสต์/comp01" เป็นเซิร์ฟเวอร์เป้าหมาย แต่ไม่อนุญาตให้พวกเขาทำหน้าที่เป็นไคลเอนต์ในระหว่างการตรวจสอบสิทธิ์เริ่มต้น มีอยู่ในแท็บคีย์ของคุณเพื่อใช้ในด้าน "ตัวรับ" เท่านั้น

mm flag
แน่นอนว่าได้แก้ปัญหาของฉันแล้ว! ร่วมกับความคิดเห็นจาก @Semicolon ฉันสามารถรับตั๋วโดยใช้ `kinit -kt /etc/krb5.keytab '[email protected]'` (คำต่อท้ายดอลลาร์และเครื่องหมายขีดมีความสำคัญมาก!) ขอบคุณมาก เพื่อขอความช่วยเหลือของคุณ!

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา