Kerberos: kinit в Windows 8.1 приводит к пустому кэшу билетов

Я установил Kerberos for Windows на новую машину с Windows 8.1.




  • домен: не установлен

  • рабочая группа: рабочая группа


Я отредактировал файл krb5.ini в каталоге C:ProgramDataMITKerberos5 следующим образом: 



[libdefaults]

  default_realm = HSHADOOPCLUSTER.DE



[realms]

  HSHADOOPCLUSTER.DE = {

    admin_server = had-job.server.de

    kdc = had-job.server.de

  }


После перезагрузки я сделал kinit -kt daniel.keytab daniel, чтобы аутентифицировать меня против области через консоль. Кроме того, получение билета пользователем и пароля через Kerberos Ticket Manager, кажется, работает нормально, так как билет показан в пользовательском интерфейсе.



Что меня интересует, так это то, что когда я звоню klist, я получаю пустой список назад, который говорит что-то вроде cached tickets: 0:



Введите описание изображения здесь



Это кажется мне ненормальным, так как мой компьютер Ubuntu показывает действительные билеты по klist после kinit.



Что я делаю не так? Есть ли еще какие-то настройки, чтобы сделать? Иногда я читаю об инструменте ksetup, но я не знаю, какие настройки здесь необходимы, а какие нет...



============================================================



После того, как я установил 



[libdefaults] 

  ... 

  default_ccache_name = FILE:C:/ProgramData/Kerberos/krb5cc_%{uid}


В моя команда krb5.conf, команда kinit через консоль и диспетчер билетов Kerberos создает файл по указанному пути. Пока все выглядит хорошо.



Но: команда kinit создает билеты с очень разными именами файлов (длинные и короткие), в зависимости от того, запускаю ли я консоль как "admin" (короткое имя) или нет (длинное имя), см. скриншот ниже. Диспетчер билетов Kerberos показывает только один из билетов:




  • Если запуск от имени администратора:


    • показывает тикет, который я создал через администратора консоль

    • создает файлы билетов с короткими именами файлов



  • Если запустить как обычно:


    • показывает тикет, который я создал через" обычную " консоль

    • создает файлы билетов с длинными именами файлов




Введите описание изображения здесь



Команда klist по-прежнему не показывает кэшированные билеты, независимо от того, была ли консоль открыта как администратор или нет.

498   1  

1 ответ:

Об этом говорится в документации MIT Kerberos...

В MIT поддерживается несколько типов кэша учетных данных Библиотека Kerberos. Не все поддерживаются на каждой платформе ...
- файловые кэши являются самыми простыми и переносимыми. Простой формат плоского файла используется для хранения одной учетной записи за другой. Это по умолчанию...
- API реализован только в Windows. Он взаимодействует с серверным процессом, который содержит учетные данные в памяти...

значение по умолчанию имя кэша учетных данных определяется ...
- Переменная окружения KRB5CCNAME...
- Переменная профиля default_ccache_name в [libdefaults]
- Жестко заданное значение по умолчанию, DEFCCNAME

Но AFAIK, на Windows жестко закодированный кэш по умолчаниюAPI: и это то, что вы можете управлять с помощью пользовательского интерфейса. kinit также использует этот протокол по умолчанию.

Лично я никогда не мог использовать klist для использования этого протокола, даже с" стандартным " синтаксисом, то есть либо
  klist -c API:
или
  set KRB5CCNAME=API:
  klist

С другой стороны, если вы укажете KRB5CCNAME на FILE:*****, то вы можете kinit затем klist билет; но он не будет отображаться в пользовательском интерфейсе и не будет доступен для веб-браузеров и тому подобного.

3  
2017-01-20 22:08:48

Comments

    Ничего не найдено.
Click here to cancel reply.