Re: Авторизация Kerberos на AD 2003 Server SP2 + Outlook

От: Sergey Sakirkin <CGatePro_at_mx_ru>
Дата: Mon 16 Jun 2008 - 07:53:36 MSD

Добрый день.
Вывод клиентского билета.

   Server: imap/doomm.ru@doomm.LAN

      KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
      End Time: 6/16/2008 16:56:06
      Renew Time: 6/23/2008 6:56:06

• Original Message ----- From: "Victor Sudakov" <CGatePro@mx.ru> To: "CommuniGate Pro Russian Discussions" <CGatePro@mx.ru> Sent: Wednesday, June 11, 2008 2:06 PM Subject: Re: [CGP] Авторизация Kerberos на AD 2003 Server SP2 + Outlook

> Sergey Sakirkin wrote:

>>
>> так проблема разрешилась.
>> Краткая выжимка из истории болезни.
>> Клиент Outlook 2003/2007 успешно залогинился через Kerberos, на следующих
>> установках кейтаба:
>

> Может кому пригодится. Успешно работает fetchmail c аутентификацией
> Kerberos. В конфиге строчка "poll mail.sibptus.tomsk.ru auth gssapi",
> при этом fetchmail пытается получить тикет для
> pop/mail.sibptus.tomsk.ru@SIBPTUS.TOMSK.RU. Достаточно создать
> принципала pop/mail.sibptus.tomsk.ru в релме SIBPTUS.TOMSK.RU и
> импортировать ключи этого принципала в CGP в домен mail.sibptus.tomsk.ru.

>

> А вот SMTP клиента под Unix с поддержкой GSSAPI мне не удалось найти.
> Может кто видел?

>
>> ktpass -princ imap/domm.ru@AIRPORT.LAN -mapuser cgatepro -pass cgatepro
>> -out keytab-1.data -crypto RC4-HMAC-NT -ptype KRB5_NT_SRV_INST -kvno 4 В
>> параметрах AD для cgatepro явно выставлено delegation -> trust this user
>> for delegation specificities service -> use any authentication 
>> protocol ->
>> add.... imap\domm.ru
>

> Сергей, покажите ещё пожалуйста вывод "klist.exe tickets" с клиентской
> машины. Как будет выглядеть полученный Outlook-ом билет для доступа к CGP?

>

> --
> Victor Sudakov, VAS4-RIPE, VAS47-RIPN
> sip:sudakov@sibptus.tomsk.ru
Получено Mon Jun 16 03:54:03 2008