Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Oracle Новый топик    Ответить
Топик располагается на нескольких страницах: [1] 2 3 4 5   вперед  Ctrl      все
 Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
KIREAL
Member

Откуда:
Сообщений: 390
Добрый день коллеги!

У меня вопрос по поводу конфигурации Oracle + Kerberos + AD.
Описание среды где требуется сконфигурированный аутентификацию через Kerberos.
Имеется домен:

- sam.ru

Дочерние домены:

- asmp.sam.ru
- finances.sam.ru
- others.sam.ru
- production.sam.ru
- project.sam.ru
- supplies.sam.ru

Контролера доменов работают под управлением Win2k3 (Active Directory).
Для домена sam.ru три контролера (pdc-sam.sam.ru,bdc-sam.sam.ru,sdc-sam.sam.ru)
Для каждого дочернего домена имеется по два контролера (pdc-domain_name,bdc-domain_name)

База данных 10.2.0.4 установлена на Oracle Linux 5.3:

- Hostname: oralin
- Full name: oralin.sam.ru
- Ip: 10.128.2.246
- Db sid: emrep

Клиенты на Win2000,WinxP.
Настроена аутентификация через Kerbersos v5 как описано в:

- Metalink DOC ID 368321.1;
- Integrating AIX into Heterogeneous LDAP Environments.

Настройка производилась только для SAM.RU, то есть без учета дочерних доменов.
Описание настройки:
1) Конфигурация конфигов Kerberos на стороне сервера БД;
- /etc/krb5.conf
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = SAM.RU
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 forwardable = yes
 default_tkt_enctypes = des-cbc-crc
 default_tgs_enctypes = des-cbc-crc

[realms]
 SAM.RU = {
 kdc = pdc-sam.sam.ru:88
 admin_server = pdc-sam.sam.ru:749
 default_domain = sam.ru
           }

[domain_realm]
 .sam.ru = SAM.RU
 sam.ru = SAM.RU

[appdefaults]
 pam = {
 debug = false
 ticket_lifetime = 36000
 renew_lifetime = 36000
 forwardable = true
 krb4_convert = false
       }

- /etc/krb5.realms
 .sam.ru = SAM.RU
 sam.ru = SAM.RU

Проверяем правильность настройки (пройдем аутентификацию используя доменного пользователя emrep_oralin):
[root@oralin /]# kinit emrep_oralin
Password for emrep_oralin@SAM.RU:
[root@oralin /]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: emrep_oralin@SAM.RU

Valid starting     Expires            Service principal
10/31/09 14:49:58  11/01/09 00:52:59  krbtgt/SAM.RU@SAM.RU
renew until 11/01/09 14:49:58

2) Добавление ключа в реестр в соотвествии с ID 368321.1 и создание пользователя для мапирования на него principal:
- пользователь emrep_oralin;
- имя principal emrep/oralin.sam.ru@SAM.RU

3) Создание файла содержащий имя principal и шаред ключ используя утилиту ktpass и добавления записи в keytab на сервере БД:
D:\>ktpass -out D:\keytab.emrep_oralin -princ emrep/oralin.sam.ru@SAM.RU -mapuser emrep_oralin -pass * -mapOp set +DesOnly crypto DES-CBC-CRC -ptype KRB5_NT_PRINCIPAL -kvno 3

Сбрасываем пароль пользователя на тотже который мы ввели при использовании ktpass (это связанно с опцией -mapOp set +DesOnly, до использования ktpass пароль пользователя был захеширован используя не DES алгоритм, а в файлик падает хеш используя DES)
Переносим файл на сервер БД
Чтение ключа используя ktutil:
[root@oralin etc]# ktutil
ktutil:  rkt /etc/keytab.emrep_oralin
ktutil:  l
KVNO Principal
---- --------------------------------------------------------------------------
3 emrep/oralin.sam.ru@SAM.RU

ktutil:  wkt /etc/krb5.keytab
ktutil:  q

Проверяем содержание:
- /etc/krb5.keytab

[root@oralin etc]# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
3 emrep/oralin.sam.ru@SAM.RU

Проверяем возможность аутентификации без указания пароля:
[root@oralin /]# kinit -k emrep/oralin.sam.ru@SAM.RU
[root@oralin /]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: emrep/oralin.sam.ru@SAM.RU

Valid starting     Expires            Service principal
10/31/09 14:52:39  11/01/09 00:55:38  krbtgt/SAM.RU@SAM.RU
renew until 11/01/09 14:52:39

Меняем владельца файла на пользователя от которого ставили Oracle DB:
[root@oralin etc]# chown oracle krb5.keytab

4) Конфигурация конфигов Kerberos на стороне клиента (WinXP):
C:\krb5 - директория с конф файлами
- krb5.conf
[libdefaults]
        default_realm = SAM.RU
        default_tkt_enctypes = des-cbc-crc
        default_tgs_enctypes = des-cbc-crc
        default_etypes = des-cbc-crc
        default_etypes_des = des-cbc-crc

[realms]
	SAM.RU = {
                kdc = pdc-sam.sam.ru:88
                admin_server = pdc-sam.sam.ru:749
                default_domain = sam.ru
                 }
       
[domain_realm]
      .sam.ru = sam.RU
      sam.ru = sam.RU

5) Настройка ORACLE NET:
Сторона сервера:
Для того чтобы появилась вкладка в netmgt с Adv Sec Opt в файл NETPROPERTIES распологающийся в $ORACLE_HOME/network/tools/ в строчку INSTALLEDCOMPONENTS=ORACLENET добавляем ASO:
INSTALLEDCOMPONENTS=ORACLENET,ASO

Используя netmgr или самостоятельно редактируя sqlnet.ora настраиваем опции ASO
- $ORACLE_HOME/network/admin/sqlnet.ora

NAMES.DIRECTORY_PATH= (HOSTNAME, EZCONNECT, TNSNAMES)

SQLNET.AUTHENTICATION_SERVICES= (BEQ, KERBEROS5)
SQLNET.AUTHENTICATION_KERBEROS5_SERVICE = emrep
SQLNET.KERBEROS5_CONF_MIT = true
SQLNET.KERBEROS5_CONF = /etc/krb5.conf
SQLNET.KERBEROS5_REALMS = /etc/krb5.realms
SQLNET.KERBEROS5_KEYTAB = /etc/krb5.keytab

TRACE_DIRECTORY_SERVER = /u01/app/oracle/102/db10g/network/trace/
TRACE_DIRECTORY_CLIENT = /u01/app/oracle/102/db10g/network/trace/
TRACE_LEVEL_SERVER = SUPPORT
#TRACE_LEVEL_CLIENT = SUPPORT
TRACE_UNIQUE_CLIENT = on

(okinit -k работает верно, что говорит о правильной конфигурации)

Сторона клиента (WinXP):
- Hostname: 58bki03
- Full hostname: 58bki03.SAM.RU
- %ORACLE_HOME\NETWORK\ADMIN\sqlnet.ora
NAMES.DIRECTORY_PATH= (TNSNAMES, EZCONNECT, HOSTNAME, LDAP)
SQLNET.AUTHENTICATION_SERVICES= (KERBEROS5,NONE,NTS,BEQ,TCPS)
SQLNET.KERBEROS5_CONF_MIT = TRUE
SQLNET.KERBEROS5_CONF = C:\krb5\krb5.conf
SQLNET.KERBEROS5_REALMS = C:\krb5\krb5.realms
SQLNET.KERBEROS5_CC_NAME = OSMSFT://

TRACE_DIRECTORY_CLIENT = E:\Oracle\product\10.2.0\db_1\NETWORK\trace
TRACE_LEVEL_CLIENT = SUPPORT
TRACE_UNIQUE_CLIENT = on

(oklist показывает большое количетсво тикетов полученный при входе в систему: используется OSMSFT://)


6) Создание пользователя в sam.ru и БД. Тестирование аутентификации через Kerberos.
Праметры БД:
	
- remote_os_authent = FALSE
- remote_os_authent = ''

Создаем пользователя через соответсвующую остнастку в mmc.
Создаем пользователя в БД:
SQL> create user "EXMPL@SAM.RU" identified externally;
SQL> grant create session to "EXMPL@SAM.RU";

Тестирование:
1) Логинимся на клиенте от пользователя exmpl.

2) Логинимся в БД без указания пользователя и пароля:
D:\>sqlplus /@oralin:1521/emrep
SQL*Plus: Release 10.2.0.1.0 - Production on Сб Окт 31 15:58:41 2009
Copyright (c) 1982, 2005, Oracle.  All rights reserved.
Присоединен к:
Oracle Database 10g Enterprise Edition Release 10.2.0.4.0 - Production
With the Partitioning, OLAP, Data Mining and Real Application Testing options
SQL>
SQL> select sys_context('USERENV','AUTHENTICATION_METHOD') from dual;

SYS_CONTEXT('USERENV','AUTHENTICATION_METHOD')
--------------------------------------------------------------------------------
KERBEROS
	
SQL> show user
USER имеет значение "EXMPL@SAM.RU"
SQL>

Для пользователей домена sam.ru все работает. Для пользователей дочерних доменов нет. Ошибка ORA-12638: Credential retrieval failed
(Cause: The authentication service failed to retrieve the credentials of a user.)

Теперь собственно вопрос. Какие изменения нужно внести в настройки для того чтобы аутентификация через Kerberos работала и для пользователей дочерних доменов?

Добавить новые realm (например asmp.sam.ru) в krb5.conf и krb5.realms - этого будет достаточно?
31 окт 09, 10:23    [7865994]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
гостьь
Guest
вроде не получится, кроме как устанавливать trusted между Win2k3
31 окт 09, 11:31    [7866111]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
KIREAL
Member

Откуда:
Сообщений: 390
гостьь,
Приветствую. А поподробнее можно?

Провел эксперимент.
Добавил на сервере и клиенте в krb5.conf и krb5.realms информацию о дочернем домене. Создал соответствующего пользователя:
SQL> create user "EXMPL@ASMP.SAM.RU" identified externally;

Создал пользователя в домене asmp.sam.ru.
Включил трассировку на клиенте и сервере в режим SUPPORT. (Трассировку выложу в понедельник)
Посмотрел список tickets до и после запуска sqlplus.

До:
tikcet для principal emrep/oralin.sam.ru@SAM.RU не получен
Запуск: sqlplus /@oralin:1521/emrep
ORA-12638: Credential retrieval failed
После:
tikcet для principal emrep/oralin.sam.ru@SAM.RU не получен
ticket для principal emrep/oralin.sam.ru@ASMP.SAM.RU ПОЛУЧЕН

В трассировке следующая информация:

Client ex@ASMP.SAM.RU
Service emrep/oralin.sam.ru@SAM.RU

И соответствующая ошибка о кеш файле KERBEROS_CC.


Проблема в том что пользователь ex@ASMP.SAM.RU проходит аутентификацию для emrep/oralin.sam.ru@ASMP.SAM.RU а нужно для emrep/oralin.sam.ru@SAM.RU??

P.S. Коллеги выручайте :)
1 ноя 09, 05:44    [7867397]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
KIREAL
Member

Откуда:
Сообщений: 390
Помогите подсказкой... :(

Все попробовал что можно. Ничего не выходит.

Я думаю кто-то ведь организовывал аутентификацию через kerberos в многоуровневом домене (родительский-дочерний).
3 ноя 09, 13:54    [7876778]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
KIREAL
Member

Откуда:
Сообщений: 390
А то уже смотрю в сторону OIM + Oracle + Ent User + SSL
3 ноя 09, 13:57    [7876797]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
DustySU
Member

Откуда:
Сообщений: 34
2 KIREAL

К моему сожалению, помочь я Вам не смогу, однако у меня к Вам есть вопрос, на который (как я надеюсь) Вы, возможно, сможете ответить.

На данный момент у меня сложилась подобная ситуация, однако есть некоторые различия - домен один и контроллер домена работает под управлением Windows Server 2008 EE x64.

Дошёл до пункта

"2) Добавление ключа в реестр в соотвествии с ID 368321.1 и создание пользователя для мапирования на него principal:"

однако на 2008 сервер патч, указанный в статье от MS, не устанавливается (что не удивительно), а для 2008 сервера соответствующего патча я не нашёл.

Как Вы считаете, именно это влияет на то, что после ввода команды (все имена заменены на свои):

"Проверяем возможность аутентификации без указания пароля:
[root@oralin /]# kinit -k emrep/oralin.sam.ru@SAM.RU"

RedHat выдаёт

"kinit(v5): Client not found in Kerberos database while getting initial credentials"

или это я что-то упустил?
5 ноя 09, 15:44    [7886743]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
KIREAL
Member

Откуда:
Сообщений: 390
DustySU,

Приветствую.

Для начала проверьте правильность настройки керберос.

Смотрим на principal name в keytab:

klist -k

или

klist -k keytab_file

потом пробуем пройти аутентификацию

kinit principal_name

должен появиться запрос пароля.

После ввода пароля даем klist для просмотра тикета.

Или проверь просто:
kinit твоя_учетка
6 ноя 09, 04:01    [7889177]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
DustySU
Member

Откуда:
Сообщений: 34
KIREAL,

Смотрим на principal name в keytab:

klist -k


Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- ----------------------------------
3 testlog/testora.dom.org@DOM.ORG


потом пробуем пройти аутентификацию

kinit principal_name



[root@testora ~]# kinit testlog_testora
Password for testlog_testora@DOM.ORG:
[root@testora ~]#

После ввода пароля даем klist для просмотра тикета.

[root@testora ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: testlog_testora@DOM.ORG

Valid starting Expires Service principal
11/06/09 08:27:24 11/06/09 18:27:22 krbtgt/DOM.ORG@DOM.ORG
renew until 11/07/09 08:27:24


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
[root@testora ~]#
6 ноя 09, 08:31    [7889327]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
Biz©
Member

Откуда: Snezhinsk
Сообщений: 5687
okinit
oklist
?
6 ноя 09, 09:11    [7889439]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
DustySU
Member

Откуда:
Сообщений: 34
Biz©,
bash: okinit: command not found
bash: oklist: command not found
6 ноя 09, 09:16    [7889456]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
KIREAL
Member

Откуда:
Сообщений: 390
DustySU
Biz©,
bash: okinit: command not found
bash: oklist: command not found


export PATH=$ORACLE_HOME/bin:PATH
oklist
okinit
7 ноя 09, 02:01    [7895739]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
KIREAL
Member

Откуда:
Сообщений: 390
Biz©,

Коллега, не могли бы вы мне помочь советом, в вопросе с дочерними доменами :).

Куда копнуть?
7 ноя 09, 02:02    [7895745]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
DustySU
Member

Откуда:
Сообщений: 34
KIREAL,

bash: okinit: command not found
bash: oklist: command not found
9 ноя 09, 08:13    [7899531]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
DustySU
Member

Откуда:
Сообщений: 34
KIREAL,

Из-под пользователя oracle:

[root@testora ~]# su - oracle
[oracle@testora ~]$ export PATH=$ORACLE_HOME/bin:PATH
[oracle@testora ~]$ oklist

Kerberos Utilities for Linux: Version 10.2.0.3.0 - Production on 09-NOV-2009 08:19:12

Copyright (c) 1996, 2006 Oracle. All rights reserved.

oklist: Credential cache /tmp/krb5cc_501 not found.
oklist: No credentials cache file found
.

[oracle@testora ~]$ okinit

Kerberos Utilities for Linux: Version 10.2.0.3.0 - Production on 09-NOV-2009 08:21:30

Copyright (c) 1996, 2006 Oracle. All rights reserved.

okinit: Improper format of configuration file
.
9 ноя 09, 08:21    [7899544]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
Biz©
Member

Откуда: Snezhinsk
Сообщений: 5687
KIREAL
Biz©,

Коллега, не могли бы вы мне помочь советом, в вопросе с дочерними доменами :).

Куда копнуть?

пользователь должен аутентифицироваться на кд своего домена ... пробуйте менять настройки кербероса клиентов в дочерних доменах ... ну а лигитимность билетиков дочерних доменов в парент-домене должна поддтвердиться согласно доверительным отношениям в лесе ...
как то так ...
9 ноя 09, 08:27    [7899555]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
Biz©
Member

Откуда: Snezhinsk
Сообщений: 5687
Biz©
KIREAL
Biz©,

Коллега, не могли бы вы мне помочь советом, в вопросе с дочерними доменами :).

Куда копнуть?

пользователь должен аутентифицироваться на кд своего домена ... пробуйте менять настройки кербероса клиентов в дочерних доменах ... ну а лигитимность билетиков дочерних доменов в парент-домене должна поддтвердиться согласно доверительным отношениям в лесе ...
как то так ...

ну или как минимум показать трассировку склнет ... ибо чёткого описания фунциклирования тега osmsft:// я так и не нашёл ... по сути ему д.б. пофик на krb5.conf, но кто его знает ...
9 ноя 09, 08:36    [7899564]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
KIREAL
Member

Откуда:
Сообщений: 390
DustySU
KIREAL,

Из-под пользователя oracle:

[root@testora ~]# su - oracle
[oracle@testora ~]$ export PATH=$ORACLE_HOME/bin:PATH
[oracle@testora ~]$ oklist

Kerberos Utilities for Linux: Version 10.2.0.3.0 - Production on 09-NOV-2009 08:19:12

Copyright (c) 1996, 2006 Oracle. All rights reserved.

oklist: Credential cache /tmp/krb5cc_501 not found.
oklist: No credentials cache file found
.

[oracle@testora ~]$ okinit

Kerberos Utilities for Linux: Version 10.2.0.3.0 - Production on 09-NOV-2009 08:21:30

Copyright (c) 1996, 2006 Oracle. All rights reserved.

okinit: Improper format of configuration file
.



Давайте начнем все сначала.
0. Настраиваем все конфы и проверяем аутентификацию своей учетной записью.
[root@oralin /]# kinit kireal

Запросит пароль, вводим пароль и затем смотрим на билет.
[root@oralin /]# klist

Если билет получен, то все в порядке.

1. Создаем учетную запись в AD. Создаем файл ключ утилитой ktpass. Созданный утилитой ktpass файл ложится в /etc/krb5.keytab (по умолчанию такое имя)
Смотрим содержание файла krb5.keytab
[root@oralin /]# klist -k

Копируем имя принсипла который вывелся нам на экран (должно вывестись имя которое мы вводили при использования утилиты ktpass в параметре -princ) и делаем:
[root@oralin /]# kinit principal_name

где principal_name - имя принсипла который нам вывел klist -k :)
Должен спросить пароль. Вводим пароль и смотрим билет (klist).
2. Далее делаем:
[root@oralin /]# kinit -k principal_name

Должен использоваться именно хешпароля содержащийся в файле, и аутентификация должна пройти успешно.
9 ноя 09, 14:06    [7901722]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
KIREAL
Member

Откуда:
Сообщений: 390
Biz©
Biz©
KIREAL
Biz©,

Коллега, не могли бы вы мне помочь советом, в вопросе с дочерними доменами :).

Куда копнуть?

пользователь должен аутентифицироваться на кд своего домена ... пробуйте менять настройки кербероса клиентов в дочерних доменах ... ну а лигитимность билетиков дочерних доменов в парент-домене должна поддтвердиться согласно доверительным отношениям в лесе ...
как то так ...

ну или как минимум показать трассировку склнет ... ибо чёткого описания фунциклирования тега osmsft:// я так и не нашёл ... по сути ему д.б. пофик на krb5.conf, но кто его знает ...


Приду на работу, обязательно соберу все трейсы и опубликую. Кажется все дело в одном realm.
9 ноя 09, 14:07    [7901735]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
DustySU
Member

Откуда:
Сообщений: 34
Давайте начнем все сначала.
0. Настраиваем все конфы и проверяем аутентификацию своей учетной записью.
[root@oralin /]# kinit kireal


kinit user
Password for user@DOM.ORG

ввожу пароль.

Запросит пароль, вводим пароль и затем смотрим на билет.
[root@oralin /]# klist


klist
Ticket cache: FILE;/tmp/krb5cc_0
Default principal: user@DOM.ORG

Valid starting            Expires                          Service principal
11//09/09 14:25:59   11/10/09 00:26:01          krbtgt/DOM.ORG@DOM.ORG
            renew until    11/10/09 14:25:59

Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached

Билет получен?

Если билет получен, то все в порядке.

1. Создаем учетную запись в AD. Создаем файл ключ утилитой ktpass. Созданный утилитой ktpass файл ложится в /etc/krb5.keytab (по умолчанию такое имя)
Смотрим содержание файла krb5.keytab
[root@oralin /]# klist -k


Создаю пользователя testlog_testora
Создаю файл ключ:
ktpass -out c:\keytab.testlog_testora -princ testlog/testora.dom.org@DOM.ORG -mapuser testlog_testora -pass P@ssw0rd -mapOp set +DesOnly crypto DES-CBC-CRC -ptype KRB5_NT_PRINCIPAL -kvno 3

Переношу файл ключ на линукс, вставляю содержимое в krb5.keytab

klist -k
Keytab name: FILE:/etc/krb5.keytab
KNVO Principal
----- --------------------------------
     3 testlog/testora.dom.org@DOM.ORG


Копируем имя принсипла который вывелся нам на экран (должно вывестись имя которое мы вводили при использования утилиты ktpass в параметре -princ) и делаем:
[root@oralin /]# kinit principal_name


Если это testlog/testora.dom.org@DOM.ORG, то kinit отдаёт "kinit(v5): Client not found in Kerberos database while getting initial credentials"

Если это testlog_testora, то просит пароль.

где principal_name - имя принсипла который нам вывел klist -k :)
Должен спросить пароль. Вводим пароль и смотрим билет (klist).


Соответственно (во втором случае) выдаёт

Default principal: testlog_testora@DOM.ORG

2. Далее делаем:
[root@oralin /]# kinit -k principal_name


kinit -k testlog/testora.dom.org@DOM.ORG
kinit (v5): Client not found in Kerberos database while getting initial credentials

Что не так?
9 ноя 09, 14:55    [7902231]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
DustySU
Member

Откуда:
Сообщений: 34
klist: You have no tickets cached

Похоже не получен?
9 ноя 09, 15:12    [7902446]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
KIREAL
Member

Откуда:
Сообщений: 390
DustySU
klist: You have no tickets cached

Похоже не получен?


Даешь содержимое всех конфигов и настройки окружения (хосты и айпишники)
10 ноя 09, 02:54    [7905442]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
DustySU
Member

Откуда:
Сообщений: 34
KIREAL


Даешь содержимое всех конфигов и настройки окружения (хосты и айпишники)


File: krb5.conf

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = DOM.ORG
 ticket_lifetime = 24h
 dns_lookup_realm = false
 dns_lookup_kdc = false
 forwardable = yes
 default_tkt_enctypes = des-cbc-crc
 default_tgs_enctypes = des-cbc-crc

[realms]
 DOM.ORG = {
  kdc = dc-02.dom.org:88
  admin_server = dc-02.dom.org:749
  default_domain = dom.org
 }

[domain_realm]
 dom.org = DOM.ORG
 .dom.org = DOM.ORG

[appdefaults]
 pam = {
 debug = false
 ticket_lifetime = 36000
 renew_lifetime = 36000
 forwardable = true
 krb4_convert = false
 }

File: krb5.realms

.dom.org = DOM.ORG
dom.org = DOM.ORG

File: hosts

# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1       localhost.localdomain   localhost
192.168.3.130   testora.dom.org      testora
192.168.10.3    dc-02.dom.org    dc-02

Что ещё?
10 ноя 09, 08:37    [7905570]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
KIREAL
Member

Откуда:
Сообщений: 390
DustySU,

То есть у Вас ситуация следующая.

Пытаетесь:

kinit principal_name

Получаете: kinit (v5): Client not found in Kerberos database while getting initial credentials

Пытаетесь:

kinit map_user

Появляется приглашение на ввод пароля?

Тогда, еще попрошу заглянуть на вкладку account в свойствах пользователя AD (map_user). Там в login должен находится имя principal. Если это не так то пересоздайте пользователя и Keytab соответственно.
Если не помогло.
Попробуйте повторить всю процедуру с самого начала (всю конфигурацию).
+ Обязательно после создания keytab сбросьте пароль пользователя на тот который указали в утилите ktpass. Зачем это делать, я уже писал в первом сообщении.
10 ноя 09, 09:57    [7905831]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
DustySU
Member

Откуда:
Сообщений: 34
KIREAL
То есть у Вас ситуация следующая.

Пытаетесь:

kinit principal_name

Получаете: kinit (v5): Client not found in Kerberos database while getting initial credentials


Получается вот так:

[root@testora etc]# kinit testlog/testora.dom.org@DOM.ORG
kinit(v5): Client not found in Kerberos database while getting initial credentials
[root@testora etc]#

KIREAL
Пытаетесь:

kinit map_user

Появляется приглашение на ввод пароля?


Вот так:

[root@testora etc]# kinit testlog_testora
Password for testlog_testora@DOM.ORG:
[root@testora etc]#

KIREAL
Тогда, еще попрошу заглянуть на вкладку account в свойствах пользователя AD (map_user). Там в login должен находится имя principal. Если это не так то пересоздайте пользователя и Keytab соответственно.


Attribute: userPrincipalName
testlog/testora.dom.org@DOM.ORG

User logon name:
testlog/testora.dom.org@dom.org

User logon name (pre-Windows 2000):
DOM\testlog_testora

KIREAL
Если не помогло.
Попробуйте повторить всю процедуру с самого начала (всю конфигурацию).


Пробовал раз 5, результат одинаковый.

KIREAL
+ Обязательно после создания keytab сбросьте пароль пользователя на тот который указали в утилите ktpass. Зачем это делать, я уже писал в первом сообщении.


Сбрасываю в обязательном порядке.
10 ноя 09, 10:24    [7905975]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
Biz©
Member

Откуда: Snezhinsk
Сообщений: 5687
DustySU
Что ещё?

может пользовать утилиты оракела, а не линуха ?
10 ноя 09, 12:25    [7907022]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: [1] 2 3 4 5   вперед  Ctrl      все
Все форумы / Oracle Ответить