Kerberos Keytab wird für falschen FQDN erzeugt

german
feedback

#1

Hallo,

wenn man einen Memberserver foo in eine Domäne hängt, der aber im DNS
als foo.bar.domäne.de angesprochen wird, lautet die erzeugte keytab den-
noch auf foo.domäne.de und ist somit unbrauchbar.


#2

Hallo,

wie wurde der Memberserver in die andere Domäne verschoben? Nach Möglichkeit sollte dies per Univention System Setup durchgeführt werden. Oder ist der Memberserver in beiden Domänen erreichbar?

Der Keytab-Eintrag wird aus dem LDAP-Attribut krb5PrincipalName generiert.

Viele Grüße
Stefan Gohmann


#3

Er wurde nicht verschoben sondern von vorneherein dort angelegt;
es ist kein UCS-System sondern ein als Memberserver eingehängtes
GNU/Linux-Fremdsystem (hier: CentOS 5.3).

foo, server, computers, bar, domain

dn: cn=foo,cn=server,cn=computers,ou=Bar,dc=…
cn: foo
krb5PrincipalName: host/foo.domain@DOMAIN

DNS ist er aber nur als foo.bar.domain zu erreichen (und nur intern).


#4

Hallo,

als Workaround können Sie die entsprechende Keytab manuell anpassen.
Dafür können Sie den Befehl “kadmin” mit der FQDN des Memberservers verwenden, so dass der Befehl wie folgt aussehen sollte:

kadmin -l ext  host/<FQDN des Memberserver>@<Kerberos Realm>

Mit freundlichen Grüßen
Murat Odabas