服务器是RHEL7,Kerberos是AD(Windows).我只是KDC的客户.
Arcfour-hmac工作正常但是当我将加密类型更改为aes-256并设置新的keytab时,kinit仍然有效,但不是kvno.即使用户似乎拥有有效的票证(在klist中),他也无法再启动服务.
我无法访问Kerberos AD,但它似乎已正确配置为使用aes-256,因为最终用户(在Windows计算机上)已经请求此加密类型的票证.
我的krb5.conf:
[libdefaults]
default_realm = TOTO.NET
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
default_tkt_enctypes = aes256-cts aes128-cts des-cbc-md5 des-cbc-crc
default_tgs_enctypes = aes256-cts aes128-cts des-cbc-md5 des-cbc-crc
permitted_enctypes = aes256-cts aes128-cts des-cbc-md5 des-cbc-crc
[realms]
TOTO.NET = {
kdc = kdc1.toto.net
kdc = kdc2.toto.net
admin_server = kdc1.toto.net
}
[domain_realm]
.toto.net = TOTO.NET
toto.net = TOTO.NET
这里是我尝试使用kvno获取票证时遇到的错误:
[2477332] 1493147723.961912: Getting credentials myuser@TOTO.NET -> nn/myserver@TOTO.NET using ccache FILE:/tmp/krb5cc_0
[2477332] 1493147723.962055: Retrieving myuser@TOTO.NET -> nn/myserver@TOTO.NET …我想在临时Ansible命令中运行一个sub shell命令。
这是我想做的:
sudo ansible myservers -m shell -a "touch /var/tmp/$(uname -n)"
它创建远程文件,但是使用本地主机的名称,它不会在远程服务器上执行uname命令。