[bglug] Kerberos Cross-realm trust con AD

Malusardi Piergiorgio Giorgio.Malusardi@Ekip.it
Ven 12 Mar 2004 15:56:17 CET


Ciao a tutti,

sto cercando di implementare un trust tra un Realm Kerberos (LXCONTOSO.COM) e una foresta Active Directory su Windows Server 2003 (contoso.com - realm CONTOSO.COM) in modo da consentire agli utenti dei due "mondi" di accedere in modo più o meno trasparente alle risorse dell'altro "mondo".

Mi sono letto un po' di documentazione sia per il mondo Linux che per la parte Microsoft e ho ottenuto qualche risultato:

1) logon su una macchina Linux di utenti definiti in un Dominio Windows definendo il dominio Windows come Realm della macchina Linux
2) logon su una macchina Windows XP con utenti definti in un Realm su Linux configurando XP perche' usi un Realm Esterno

Quello che non riesco a fare (e che secondo la documentazione che ho trovato
dovrebbe essere possibile) è fare logon su una macchina Windows, inserita nel dominio AD, con un utente definito nel Realm su Linux e viceversa.

Sembra che la relazione di trust tra i due domini non funzioni assolutamente.

Configurazione e attività svolte:

Macchina Linux:
- Fedora Core 1
- Tutti i pacchetti Kerberos installati
- hostname fedora.lxcontoso.com
- IP 10.10.10.20/16
- DNS 10.10.10.10 (la macchina Windows)
- ntp configurato perche' usi la macchina Windows come server ntp
- firewall disabiliato (per evitare di soprappore complessita')

Macchina Windows
- Windows Server 2003 Enterprise
- Hostname: srv.contoso.com
- IP 10.10.10.10/16
- DNS 10.10.10.10
- Ruolo: Domin Controller
- DNS: contiene le zone forward:
	- contoso.com
	- lxcontoso.com
	e la zona Reverse:
	10.10.in-add.arpa

Configurazione trust
Lato Unix:

1) Creato il realm LXCONTOSO.COM (rilascia ticket correttamente ai propri principal)
2) Creato il principal (lx-user1@LXCONTOSO.COM - Passw0rd)
3) Creati i principal krbtgt/LXCONTOSO.COM@CONTOSO.COM e krbtgt/CONTOSO.COM@LXCONTOSO.COM necessari per il trust
4) Configurato DNS in modo che Linux sia possibile risolvere i nomi di macchine Windows e viceversa (appartengono a due domini DNS diversi) e funziona (i ping con i soli nomi macchina - senza parte di dominio - vengono risolti tranquillamente)

Lato Windows
1) Creato il puntamento al Realm su Linux (ksetup /addkdc LXCONTOSO.COM fedora.lxcontoso.com)
2) Creato un trust con il Realm Kerberos
3) Mappato il prncipal lx-user1@LXCONTOSO.COM sull'account di dominio user1
4) Impostato l'utente user1 perche usi DES come protocollo di criptatura

Risultati:
- il tentativo di logon al dominio windows da una macchina windows ma con il principal lx-user1@LXCONTOSO.COM fallisce con un User name or Domain error
- il tentativo di accesso da linux ad una risorsa Windows (es smbclient //srv/temp -k o smbclient //srv/temp -U lx-user1@LXCONTOSO.COM) fallisce con un NT_STATUS_LOGON_FAILURE
- il tentativo di logon alla macchina Linux con un account definto nel dominio Windows fallisce miseramente.

Qualcuno ha qualche esperienza su Kerberos e trust?

Ciao e grazie.

Giorgio


Maggiori informazioni sulla lista bglug