Настройка Kerberos для получения тикетов при аутентификации под доменным пользователем по сертификату

Токены:  Любые

Проблема: 

При аутентификации под доменным пользователем с использованием сертификата по умолчанию не происходит получение тикета Kerberos.

Причина:

Не производилась требуемая настройка Kerberos.

Решение:

Для получения тикета Kerberos при аутентификации под доменным пользователем необходимо следующее:

  1. Установить пакет krb5-pkinit.
  2. В конфигурационном файле /etc/krb5.conf в разделе [libdefaults] добавить строки:


pkinit_anchors = FILE:/etc/sssd/pki/sssd_auth_ca_db.pem

pkinit_eku_checking = none

pkinit_kdc_hostname = dc01.dc.test

Параметр pkinit_anchors указывает на файл с хранилищем цепочки корневых сертификатов. Важно чтобы данный файл был доступен пользователям для чтения.

Параметр pkinit_eku_checking = none указывает что проверка Extended Key Usage в пользовательском сертификате не требуется.

В параметре pkinit_kdc_hostname должно быть указано полное имя машины-контроллера домена. Список контроллеров домена можно получить с помощью следующих команд:

nslookup -type=srv _kerberos._tcp.DC.TEST

nslookup -type=srv _kerberos._udp.DC.TEST

где DC.TEST это название домена. Важно чтобы оно было написано в верхнем регистре!

  1. Также следует увеличить таймаут аутентификации Kerberos в настройках sssd. Для этого необходимо в файле /etc/sssd/sssd.conf в секции домена добавить строчку krb5_auth_timeout = 120.


ID статьи: 424
Последнее обновление: 27 Jun, 2022
Ревизия: 1
Aladdin SecurLogon -> Настройка Kerberos для получения тикетов при аутентификации под доменным пользователем по сертификату
https://kbp.aladdin-rd.ru//index.php?View=entry&EntryID=424