У меня следующая проблема с моей системой.
Server-Linux подключен к Active Directory и имеет AD-REALM .
Client-Linux подключен к freeipa и имеет LINUX-REALM .
Freeipa доверяет Active Directory ( одностороннее доверие)
Server-Linux принимает билеты Kerberos с именем пользователя в следующем формате:
username@AD-REALM
Если пользователь делает kinit в Client-Linux он получает билет Kerberos в следующем формате:
USERNAME@AD-REALM
Пользователь будет проходить проверку подлинности с Client-Linux на Server-Linux с билетом Kerberos, но получит отказ в доступе по причине имени пользователя.
После некоторых исследований я обнаружил, что ipaclient добавляет следующий файл:
[user@client-linux]$ cat /var/lib/sss/pubconf/krb5.include.d/krb5_libdefaults
[libdefaults]
canonicalize = true
После удаления включения этого файла в /etc/krb5.conf пользователь получает билет со следующим форматом имени пользователя на Client-Linux:
username@AD-REALM
и умеет подключаться к Server-Linux
Но некоторые другие программы должны канонизировать формат имени пользователя.
Я попытался добавить переопределить значение canonicalize в разделе [realm] /etc/krb5.conf
[realms]
AD-REALM = {
admin_server = ad-realm.local
kdc = ad-realm.local
canonicalize = false
}
LINUX-REALM = {
admin_server = linux-realm.local
kdc = linux-realm.local
canonicalize = true
}
Однако это не помогло, потому что параметр canonicalize должен быть определен в разделе [libdefault] конфигурации.
Итак, мой вопрос: как я могу установить другую опцию для canonicalize для разных сфер?
- ОС: CentOS 7