Настройка Kerberos для получения тикетов при аутентификации под доменным пользователем по сертификату

Токены:  Любые

Проблема: 

При аутентификации под доменным пользователем с использованием сертификата по умолчанию не происходит получение тикета Kerberos.

Причина:

Не производилась требуемая настройка Kerberos.

Решение:

Для получения тикета Kerberos при аутентификации под доменным пользователем необходимо следующее:

1. Установить пакет krb5-pkinit.
2. В конфигурационном файле /etc/krb5.conf в разделе [libdefaults] добавить строки:

pkinit_anchors = FILE:/etc/sssd/pki/sssd_auth_ca_db.pem

pkinit_eku_checking = none

pkinit_kdc_hostname = dc01.dc.test

Параметр pkinit_anchors указывает на файл с хранилищем цепочки корневых сертификатов. Важно чтобы данный файл был доступен пользователям для чтения.

Параметр pkinit_eku_checking = none указывает что проверка Extended Key Usage в пользовательском сертификате не требуется.

В параметре pkinit_kdc_hostname должно быть указано полное имя машины-контроллера домена. Список контроллеров домена можно получить с помощью следующих команд:

nslookup -type=srv _kerberos._tcp.DC.TEST

nslookup -type=srv _kerberos._udp.DC.TEST

где DC.TEST это название домена. Важно чтобы оно было написано в верхнем регистре!

3. Также следует увеличить таймаут аутентификации Kerberos в настройках sssd. Для этого необходимо в файле /etc/sssd/sssd.conf в секции домена добавить строчку krb5_auth_timeout = 120.