Re: Re: Kerberos

От: Vladimir A. Butenko <CGatePro_at_mx_ru>
Дата: Fri 26 Nov 2004 - 09:43:35 MSK

On Fri, 26 Nov 2004 09:28:51 +0300
  "Boris Tyshkiewitch" <CGatePro@mx.ru> wrote:
> On Thu, Nov 25, 2004 at 04:15:11PM -0800 Vladimir A. Butenko wrote:
>

>> > KTPASS -princ imap/w2k3.w2003.domain@w2003.domain -mapuser cgp -pass *** 
>> > -kvno 3 -out cgp-host.tab
>> > 
>> > 
>> >  Пока не поставил правильную версию -kvno было еще хуже (Unknown 
>>ticket).
>> > Однако в логе CGP было указано какую версию оно хочет.

>
>
> Вобще тема про этот kvno - очень странная. CGP сначала хотел kvno = 3.
> Иначе - Unknown ticket. Дал, CGP нашел. Попробовал другого юзера - CGP
> захотел kvno = 12. Дал и его, CGP нашел. Чего то я тут не понял - ключ в
> keytab должен даваться на сервер, а не на конкретного пользователя.

Э.. Не совсем. Разные клиенты могут использовать разные методы криптования, и, соответственно, KDC для этого использует разные ключи.

>> >  Про kvno - 
>> >http://mailman.mit.edu/pipermail/kerberos/2004-September/006188.html
>> 
>> Там так же сказано:
>> 
>> -crypto DES-CBC-MD5
>>   
>> Потому что всё остальное у Микрософта "пока плохо получается".

>
> В том ktpass, который мне удалось найти в дебрях MS (осень 2004г. из
> комплекта SupportTools) DES-CBC-MD5 является дефолтным. И это потом видно,
> когда CGP репортит тип ключа как DES-MD5. Брал тут:
>
> http://www.microsoft.com/downloads/details.aspx?familyid=49ae8576-9bb9-4126-9761-ba8011fabf38&displaylang=en&Hash=D9BFT4G

Э... А... Честно скажу - не помню. Значит, вообще не DES-CBC-MD5, а DES-CBC-CRC - потому что для Микрософт, кажется, и MD5- слишком круто. В общем, там именно в этом было дело, когда мы тестировали.

> Вобщем все как-то непросто. Может научить CGP самостоятельно доставать
> этот keytab из windows? Без всякого ktpass? Судя по рассылкам, samba

>именно

> так и делает - сама лезет в AD, и заполняет свой keytab десятком ключей с
> самыми разными криптовалками.

Для этого надо логиниться в эту самую AD.

> Ну может не сам CGP, а installer, или какой-нибудь отдельный тул. Не
> правильно лазить по интернету в поисках какой-то стремной тулзы, не

>входящей в

> стандартную дистрибуцию виндовс.
>
>
> А вобще тема очень актуальная. В рассылках куча писем от людей, которые
> безуспешно пытаются сделать подобное с Oracle, SAP и иными известными
> программами. Но успех пока на стороне опернсурса - samba, unix/linux PAM,
> cyrus. Опять же судя по письмам - с этими получается.

Да с CGatePro тоже всё работает - если правильно установить. Другое дело, что найти правильную комбинацию для самоделкиных из MIT (авторов Kerberos) и самоделкиных из Microsoft - задача непростая. Но решаемая. Мы просто мануал не успели написать :-)   

> Boris.

Sincerely,
Vladimir Получено Fri Nov 26 06:43:42 2004