Kerberos Ticket

26/03/2009 - 10:04 von Suvad Sahovic | Report spam
Hi NG,

wir haben folgendes Problem. Die AD Root domain lautet ab.firma.com. Unser
UPN lautet zusàtzlich username@firma.com. D.h. ein Client kann sich mit
diesem UPN bei AD anmelden. Wenn ich ein KerberosTicket holen möchte und
versuche von der @FIRMA.COM zu holen schlàgt es immer fehl. Als ob der KDC
immer ein Kerberos Ticket mit @AB.FIRMA.COM erstellt. Ich brauche aber ein
KerberosTicket mit @FIRMA.COM.
Kerberos Ticket hole ich mit kinit.

krb5.ini Datei sieht bei mir wie folgt aus (und mit diesen Einstellungen
schlàgt es immer fehl):

[libdefaults]
default_realm = FIRMA.COM
[realms]
FIRMA.COM = {
kdc = ab.firma.com
}
[domain_realm]
.ab.firma.com = FIRMA.COM
ab.firma.com = FIRMA.COM
.firma.com = FIRMA.COM
firma.com = FIRMA.COM


Wenn die krb5.ini wie folgt (u.a.) aussieht, dann kriege verstàndlicherweise
ein Ticket, allerdings mit @AB.FIRMA.COM


[libdefaults]
default_realm = AB.FIRMA.COM
[realms]
AB.FIRMA.COM = {
kdc = ab.firma.com
}
[domain_realm]
.ab.firma.com = AB.FIRMA.COM
ab.firma.com = AB.FIRMA.COM


Kann überhaupt der KDC (ab.firma.com) einen KerberosTicket mit @FIRMA.COM
erstellen? Wenn ja, wie soll ich das einstellen? Und wenn nein, was bleibt
übrig? Wahrscheinlich neue AD(root)Domàne firma.com erstellen auf neuem
Rechner,... hoffentlich nicht?

Vielen Dank

Grüße
Suvad
 

Lesen sie die antworten

#1 Nils Kaczenski [MVP]
28/03/2009 - 16:39 | Warnen spam
Moin,

Suvad Sahovic schrieb:
Die AD Root domain lautet ab.firma.com.


[...]
Wenn ich ein KerberosTicket holen möchte und
versuche von der @FIRMA.COM zu holen schlàgt es immer fehl.



ja, natürlich. firma.com ist keine AD-Domàne in eurem Forest. Der KDC
kann dafür keine Tickets ausstellen.

Der UPN-Suffix hat mit Kerberos-Realms nichts zu tun. Es handelt sich um
eine wahlfreie Zeichenfolge, die als zusàtzlicher Wert im AD hinterlegt
ist. Die Idee dahinter war Ende der Neunziger, von dem NT-Anmeldeformat
DOMAIN\USERNAME wegzukommen und den Usern zu ermöglichen, sich mit ihrer
Mailadresse anzumelden. Damit das auch in Umgebungen funktioniert, in
denen das AD anders heißt als die Maildomain, hat man zusàtzliche
UPN-Suffizes zugelassen. Das hat sich aber nicht recht durchgesetzt.

Kann überhaupt der KDC (ab.firma.com) einen KerberosTicket mit @FIRMA.COM
erstellen?



Wie oben gesagt: Nein.

Und wenn nein, was bleibt
übrig? Wahrscheinlich neue AD(root)Domàne firma.com erstellen auf neuem
Rechner,... hoffentlich nicht?



Vielleicht solltest du erst mal beschreiben, warum du ein Ticket für
firma.com brauchst, wenn eure Domàne gar nicht so heißt.


Schöne Grüße, Nils

Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/p....Kaczenski

Ähnliche fragen