AIX + MS AD (Kerberos): “KRB5Afiles” could not be loaded

Главная Форумы POWER Systems AIX/Hardware AIX + MS AD (Kerberos): “KRB5Afiles” could not be loaded

Просмотр 6 веток ответов
  • Автор
    Сообщения
    • #1473
      bcast
      Участник

      Добрый день!
      Пытаюсь настроить аутентификацию пользователеф в Active Directory по статье http://www.opennet.ru/base/net/aix_ms_ad.txt.html
      Имеем:
      [code]
      bash-3.00# oslevel
      6.1.0.0
      krb5.client.rte 1.4.0.4 C F Network Authentication Service
      Client
      krb5.client.samples 1.4.0.4 C F Network Authentication Service
      Samples
      krb5.doc.en_US.pdf 1.4.0.4 C F Network Auth Service PDF
      Documentation – U.S. English
      krb5.lic 1.4.0.4 C F Network Authentication Service
      License
      [/code]
      В /etc/methods.cfg:
      [code]KRB5A:
      program = /usr/lib/security/KRB5A
      program_64 = /usr/lib/security/KRB5A_64
      options = authonly

      KRB5Afiles:
      options = auth=KRB5A,db=BUILTIN
      [/code]
      создан пользователь:
      [code]mkuser registry=KRB5Afiles SYSTEM=KRB5Afiles foo[/code]
      команда kinit имя пользователя_в_ад при введенном пароле успешно отрабатывает. klist Тоже выдает информацию:
      [code]
      bash-3.00# klist
      Ticket cache: FILE:/var/krb5/security/creds/krb5cc_0
      Default principal: tx3d@TEST.RU

      Valid starting Expires Service principal
      11/21/08 21:20:05 11/22/08 07:20:08 krbtgt/TEST.RU@TEST.RU
      Renew until 11/22/08 21:20:05

      [/code]
      Но при попытке сдлеать su на пользователя foo из под нерутового пользователя выдается:
      [code]
      $ su foo
      foo’s Password:
      3004-619 Security method “KRB5Afiles” could not be loaded.
      3004-501 Cannot su to “foo”.
      [/code]
      В чем может быть дело? может быть это из-за того, что версия аикса шестая?

    • #1474
      andrewk
      Участник

      в моей конфигурации на AIX 5.3 methods.cfg лежит в /usr/lib/security/methods.cfg и в нем нет строки program_64.

      Кроме этого требуется настройка параметров в /etc/krb5/krb5.conf, в частности:
      default_tkt_enctypes = des-cbc-md5 des-cbc-crc
      default_tgs_enctypes = des-cbc-md5 des-cbc-crc

      и на стороне Windows пользователь должен быть создан с DES-encryption (точное название галки и ее местоположение не помню)

    • #1475
      andrewk
      Участник

      и btw lsauthent?

    • #1492
      bcast
      Участник

      Насколько я понял program_64 отвечает за программы, которые должны выполнятся в случае 64битной версии, у нас вроде такая, проверял командой найденой в гугле,сейчас не вспомню.
      /etc/krb5/krb5.conf настройки параметров выставлял такие же все как у тебя, на стороне виндовс создавал обычного пользователя, но kinit имя_пользователя_в_ад отрабатывал для любого пользователя. В понедельник попробую поискать конкретную галку про DES.
      lsauthent выводит Kerberos 5 и еще что-то (сейчас не помню), помню что задава chauthent -k5 -std.

    • #1493
      andrewk
      Участник

      про DES – я нагнал, это видимо из какой-то другой оперы. а вот program_64 я бы попробовал отключить. У меня тоже все 64-битное кроме кербероса 🙂

    • #1496
      bcast
      Участник

      Попробовал все тоже самое 🙁 Может поновее krb5.client.rte скачать? не в курсе откуда можно, а то сайт айбиэма уж очень неудобный

    • #1503
      Дмитрий
      Участник

      На сайте IBM (куда-ж деваться) находим FixCentral и качаем оттуда обновления к krb5.client.rte (а заодно – ко всему остальному).
      Прямая ссылка есть со “старого” Портала -> Downloads.

Просмотр 6 веток ответов
  • Для ответа в этой теме необходимо авторизоваться.