Re: Re: Kerberos

От: Vladimir A. Butenko <CGatePro_at_mx_ru>
Дата: Tue 30 Nov 2004 - 08:46:27 MSK

Integrating with Microsoft Active Directory

   You may want to use Microsoft Active Directory as your Kerberos Key    Distribution Center (KDC). Follow these steps:

See the Microsoft Knowledge Base artcile Q324144 for more details.

On Thu, 25 Nov 2004 22:43:35 -0800
  "Vladimir A. Butenko" <CGatePro@mx.ru> wrote:
> On Fri, 26 Nov 2004 09:28:51 +0300
> "Boris Tyshkiewitch" <CGatePro@mx.ru> wrote: 

>> On Thu, Nov 25, 2004 at 04:15:11PM -0800 Vladimir A. Butenko wrote:
>> 
>>> > KTPASS -princ imap/w2k3.w2003.domain@w2003.domain -mapuser cgp -pass *** 
>>> > -kvno 3 -out cgp-host.tab
>>> > 
>>> > 
>>> >  Пока не поставил правильную версию -kvno было еще хуже (Unknown 
>>>ticket).
>>> > Однако в логе CGP было указано какую версию оно хочет.
>> 
>> 
>>  Вобще тема про этот kvno - очень странная. CGP сначала хотел kvno = 3.
>> Иначе - Unknown ticket.  Дал, CGP нашел. Попробовал другого юзера - CGP
>> захотел kvno = 12. Дал и его, CGP нашел. Чего то я тут не понял - ключ в
>> keytab должен даваться на сервер, а не на конкретного пользователя.

>
> Э.. Не совсем. Разные клиенты могут использовать разные методы 
>криптования, и, соответственно, KDC для этого использует разные ключи.

> 
>>> >  Про kvno - 
>>> >http://mailman.mit.edu/pipermail/kerberos/2004-September/006188.html
>>> 
>>> Там так же сказано:
>>> 
>>> -crypto DES-CBC-MD5
>>>   
>>> Потому что всё остальное у Микрософта "пока плохо получается".
>> 
>>  В том  ktpass, который мне удалось найти в дебрях MS (осень 2004г. из
>> комплекта SupportTools) DES-CBC-MD5 является дефолтным. И это потом видно,
>> когда CGP репортит тип ключа как DES-MD5. Брал тут:
>> 
>> http://www.microsoft.com/downloads/details.aspx?familyid=49ae8576-9bb9-4126-9761-ba8011fabf38&displaylang=en&Hash=D9BFT4G

>
> Э... А... Честно скажу - не помню. Значит, вообще не DES-CBC-MD5, а 
>DES-CBC-CRC - потому что для Микрософт, кажется, и MD5- слишком круто. В 
>общем, там именно в этом было дело, когда мы тестировали.

> 
>>  Вобщем все как-то непросто. Может научить CGP самостоятельно доставать
>> этот keytab из windows? Без всякого ktpass?  Судя по рассылкам, samba 
>>именно
>> так и делает - сама лезет в AD, и заполняет свой keytab десятком ключей с
>> самыми разными криптовалками.

>
> Для этого надо логиниться в эту самую AD.
> 
>>   Ну может не сам CGP, а installer, или какой-нибудь отдельный тул. Не
>> правильно лазить по интернету в поисках какой-то стремной тулзы, не 
>>входящей в
>> стандартную дистрибуцию виндовс.
>> 
>> 
>>  А вобще тема очень актуальная. В рассылках куча писем от людей, которые
>> безуспешно пытаются сделать подобное с Oracle, SAP и иными известными
>> программами. Но успех пока на стороне опернсурса - samba, unix/linux PAM,
>> cyrus. Опять же судя по письмам - с этими получается.

>
> Да с CGatePro тоже всё работает - если правильно установить. Другое дело, 
>что найти правильную комбинацию для самоделкиных из MIT (авторов Kerberos) 
>и самоделкиных из Microsoft - задача непростая. Но решаемая. Мы просто 
>мануал не успели написать :-)

>
> 
>> Boris.

>
>
> Sincerely,
> Vladimir
>
> ##################################################################
> Вы получили это сообщение потому, что подписаны на список рассылки
> <CGatePro@mx.ru>.
>
> Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
> Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
> Для административных запросов адрес <CGatePro-request@mx.ru>
>
>
>

Sincerely,
Vladimir Получено Tue Nov 30 05:46:32 2004

Этот архив был сгенерирован hypermail 2.1.8 : Tue 21 Feb 2006 - 03:15:36 MSK