Re: Re: Kerberos

On Thu, Nov 25, 2004 at 04:15:11PM -0800 Vladimir A. Butenko wrote:

> > KTPASS -princ imap/w2k3.w2003.domain@w2003.domain -mapuser cgp -pass ***
> > -kvno 3 -out cgp-host.tab
> >
> >
> > Пока не поставил правильную версию -kvno было еще хуже (Unknown ticket).
> > Однако в логе CGP было указано какую версию оно хочет.
  Вобще тема про этот kvno - очень странная. CGP сначала хотел kvno = 3. Иначе - Unknown ticket. Дал, CGP нашел. Попробовал другого юзера - CGP захотел kvno = 12. Дал и его, CGP нашел. Чего то я тут не понял - ключ в keytab должен даваться на сервер, а не на конкретного пользователя.

> > Про kvno -

> >http://mailman.mit.edu/pipermail/kerberos/2004-September/006188.html
> 
> Там так же сказано:
> 
> -crypto DES-CBC-MD5
>   
> Потому что всё остальное у Микрософта "пока плохо получается".

  В том ktpass, который мне удалось найти в дебрях MS (осень 2004г. из комплекта SupportTools) DES-CBC-MD5 является дефолтным. И это потом видно, когда CGP репортит тип ключа как DES-MD5. Брал тут: http://www.microsoft.com/downloads/details.aspx?familyid=49ae8576-9bb9-4126-9761-ba8011fabf38&displaylang=en&Hash=D9BFT4G

  Вобщем все как-то непросто. Может научить CGP самостоятельно доставать этот keytab из windows? Без всякого ktpass? Судя по рассылкам, samba именно так и делает - сама лезет в AD, и заполняет свой keytab десятком ключей с самыми разными криптовалками.

   Ну может не сам CGP, а installer, или какой-нибудь отдельный тул. Не правильно лазить по интернету в поисках какой-то стремной тулзы, не входящей в стандартную дистрибуцию виндовс.

  А вобще тема очень актуальная. В рассылках куча писем от людей, которые безуспешно пытаются сделать подобное с Oracle, SAP и иными известными программами. Но успех пока на стороне опернсурса - samba, unix/linux PAM, cyrus. Опять же судя по письмам - с этими получается.

Boris. Получено Fri Nov 26 06:28:52 2004