У меня следующая проблема с моей системой.
Server-Linux
подключен к Active Directory
и имеет AD-REALM
.
Client-Linux
подключен к freeipa
и имеет LINUX-REALM
.
Freeipa
доверяет Active Directory
( одностороннее доверие)
Server-Linux
принимает билеты Kerberos с именем пользователя в следующем формате:
username@AD-REALM
Если пользователь делает kinit
в Client-Linux
он получает билет Kerberos в следующем формате:
USERNAME@AD-REALM
Пользователь будет проходить проверку подлинности с Client-Linux
на Server-Linux
с билетом Kerberos, но получит отказ в доступе по причине имени пользователя.
После некоторых исследований я обнаружил, что ipaclient
добавляет следующий файл:
[user@client-linux]$ cat /var/lib/sss/pubconf/krb5.include.d/krb5_libdefaults
[libdefaults]
canonicalize = true
После удаления включения этого файла в /etc/krb5.conf
пользователь получает билет со следующим форматом имени пользователя на Client-Linux:
username@AD-REALM
и умеет подключаться к Server-Linux
Но некоторые другие программы должны канонизировать формат имени пользователя.
Я попытался добавить переопределить значение canonicalize в разделе [realm]
/etc/krb5.conf
[realms]
AD-REALM = {
admin_server = ad-realm.local
kdc = ad-realm.local
canonicalize = false
}
LINUX-REALM = {
admin_server = linux-realm.local
kdc = linux-realm.local
canonicalize = true
}
Однако это не помогло, потому что параметр canonicalize
должен быть определен в разделе [libdefault]
конфигурации.
Итак, мой вопрос: как я могу установить другую опцию для canonicalize
для разных сфер?
- ОС: CentOS 7