Смоленск 1.6 Доверенные домены

Сообщения
3
#1
Стоит следующая задача: получить доступ к веб-ресурсам через apache, находящемся на контроллере домена А, пользователям из домена Б.
Имеется:
- два домена (А и Б) на ALSE1.6 (добавлены друг другу в доверенные);
- в hosts имеются все соответствующие хостам записи;
- на контроллере домена А установлен apache и настроена авторизация через Kerberos;
- в браузере пользователи домена А после успешной авторизации получают доступ, пользователи же домена Б авторизацию не проходят.
Что сделано:
- "допилен" файл /etc/krb5.conf - в секцию [realms] добавлена область для домена Б, и forwardable = true в секцию [appdefaults] (происходит процедура авторизации пользователей домена Б, но apache в error.log пишет "... failed to verify krb5 credentials: Generic error (see e-text)", если же ввести неверный пароль, то появляется сообщение о непройденной авторизации);
- конфиг апача заведомо рабочий (авторизация для пользователей из А проходит) - в KrbAuthRealms добавлена область для домена Б.

Кто сталкивался с подобной задачей, подскажите пожалуйста, будет ли достигнуто желаемое или в AL это не реализуемо? Документации по данному вопросу толком не нашёл.
 

oko

New member
Сообщения
1 257
#2
С такой ситуацией не сталкивался, но интереса ради: домены ALD? Как делали между ними доверие?

UPD Почитал про доверительные отношения в ALD. Ранее вообще не подозревал, что ALD это поддерживает. В вашем случае еще вопрос: в опции KrbAuthRealms в настройках вирт.хоста Apache через пробел задали все домены или только домен А?
 
Последнее редактирование:
Сообщения
3
#3
Да, домены ALD, в конфиг виртульного хоста добавлено "KrbAuthRealms А Б", при этом KrbServiceName указан HTTP/хостA, в домене Б на всякий случай создан принципал HTTP/хостA@Б, обоим указаны одинаковые пароли, и на хостА выгружен keytab с измененным паролем, повторюсь пользователи из А заходят без проблем.
Доверие делали в графической оснастке "Управление доменной политикой безопасности", так же можно утилитой ald-admin (набор команд trusted-...).
Были вопросы - например, что за пароль требуется указать для доверенного домена. Интуитивно вбили пароль администратора добавляемого в доверенные домены.
После добавления домена Б в доверенные к домену А, добавились принципалы: krbtgt/А@Б и krbtgt/Б@А, аналогично и на домене Б (после добавления А в доверенные).
После добавления домена, удаление домена из доверенных не получается - "Server is unwilling to perform ... (DeleteDN)".
 

oko

New member
Сообщения
1 257
#4
К сожалению, ничего кроме идеи последовать совету с LOR в голову не приходит. Т.е. сделать разные keytab для одного и того же сервера Apache в каждом домене. Затем сделать дубль вирт.хоста, скормив оригиналу и дублю эти разные keytab-файлы и разные KrbAuthRealms для аутентификации в каждом домене раздельно. Минус в том, что DNS-имена будут у дублей разные (например, web.domaina.ru и web.domainb.ru) и юзеров придется учить, куда и как ходить. Либо городить дополнительное перенаправление через промежуточный прокси, DNS-сервер или PAT-маршрутизатор...
А судя по ответу "Server is unwilling to perform ... (DeleteDN)" службы ALD явно недоработаны в части разрыва доверительных отношений. Типа вход бесплатный, а за выход придется расплатиться, ага...
 
Сообщения
3
#5
Видел и эту статью тоже. Это один из альтернативных вариантов решения (как, например - дублирование учётных записей в доменах для удобства пользователей).
По итогу удалось реализовать на nginx вход с учётных записей разных доменов (в соответствии с секцией [realms] файла krb5.conf), apache так и не взлетел. Но всё-равно это не то, идея доверенных доменов в другом (либо я не так что-то понимаю). В идеале нужна прозрачная авторизация, но что-то не сростается и документации нет. Будем думать каким обходным путём пойти, но вопрос по доверенным доменам пока остаётся открытым.