У меня следующая проблема с моей системой.
Server-Linux подключен к Active Directory и имеет AD-REALM .
Client-Linux подключен к freeipa и имеет LINUX-REALM .
Freeipa доверяет Active Directory ( одностороннее доверие)
Server-Linux принимает билеты Kerberos с именем пользователя в следующем формате:

username@AD-REALM 

Если пользователь делает kinit в Client-Linux он получает билет Kerberos в следующем формате:

USERNAME@AD-REALM 

Пользователь будет проходить проверку подлинности с Client-Linux на Server-Linux с билетом Kerberos, но получит отказ в доступе по причине имени пользователя.
После некоторых исследований я обнаружил, что ipaclient добавляет следующий файл:

[user@client-linux]$ cat /var/lib/sss/pubconf/krb5.include.d/krb5_libdefaults
[libdefaults]
 canonicalize = true

После удаления включения этого файла в /etc/krb5.conf пользователь получает билет со следующим форматом имени пользователя на Client-Linux:

username@AD-REALM 

и умеет подключаться к Server-Linux
Но некоторые другие программы должны канонизировать формат имени пользователя.
Я попытался добавить переопределить значение canonicalize в разделе [realm] /etc/krb5.conf

[realms]
AD-REALM = {
 admin_server = ad-realm.local
 kdc =  ad-realm.local
 canonicalize = false
}
LINUX-REALM = {
 admin_server = linux-realm.local
 kdc =  linux-realm.local
 canonicalize = true
}

Однако это не помогло, потому что параметр canonicalize должен быть определен в разделе [libdefault] конфигурации.

Итак, мой вопрос: как я могу установить другую опцию для canonicalize для разных сфер?

  • ОС: CentOS 7

0