AIX + MS AD (Kerberos): “KRB5Afiles” could not be loaded


Главная Форумы POWER Systems AIX/Hardware AIX + MS AD (Kerberos): “KRB5Afiles” could not be loaded

В этой теме 6 ответов, 3 участника, последнее обновление  Дмитрий 9 года/лет, 5 мес. назад.

  • Автор
    Сообщения
  • #1473

    bcast
    Участник

    Добрый день!
    Пытаюсь настроить аутентификацию пользователеф в Active Directory по статье http://www.opennet.ru/base/net/aix_ms_ad.txt.html
    Имеем:
    [code]
    bash-3.00# oslevel
    6.1.0.0
    krb5.client.rte 1.4.0.4 C F Network Authentication Service
    Client
    krb5.client.samples 1.4.0.4 C F Network Authentication Service
    Samples
    krb5.doc.en_US.pdf 1.4.0.4 C F Network Auth Service PDF
    Documentation – U.S. English
    krb5.lic 1.4.0.4 C F Network Authentication Service
    License
    [/code]
    В /etc/methods.cfg:
    [code]KRB5A:
    program = /usr/lib/security/KRB5A
    program_64 = /usr/lib/security/KRB5A_64
    options = authonly

    KRB5Afiles:
    options = auth=KRB5A,db=BUILTIN
    [/code]
    создан пользователь:
    [code]mkuser registry=KRB5Afiles SYSTEM=KRB5Afiles foo[/code]
    команда kinit имя пользователя_в_ад при введенном пароле успешно отрабатывает. klist Тоже выдает информацию:
    [code]
    bash-3.00# klist
    Ticket cache: FILE:/var/krb5/security/creds/krb5cc_0
    Default principal: tx3d@TEST.RU

    Valid starting Expires Service principal
    11/21/08 21:20:05 11/22/08 07:20:08 krbtgt/TEST.RU@TEST.RU
    Renew until 11/22/08 21:20:05

    [/code]
    Но при попытке сдлеать su на пользователя foo из под нерутового пользователя выдается:
    [code]
    $ su foo
    foo’s Password:
    3004-619 Security method “KRB5Afiles” could not be loaded.
    3004-501 Cannot su to “foo”.
    [/code]
    В чем может быть дело? может быть это из-за того, что версия аикса шестая?

  • #1474

    andrewk
    Участник

    в моей конфигурации на AIX 5.3 methods.cfg лежит в /usr/lib/security/methods.cfg и в нем нет строки program_64.

    Кроме этого требуется настройка параметров в /etc/krb5/krb5.conf, в частности:
    default_tkt_enctypes = des-cbc-md5 des-cbc-crc
    default_tgs_enctypes = des-cbc-md5 des-cbc-crc

    и на стороне Windows пользователь должен быть создан с DES-encryption (точное название галки и ее местоположение не помню)

  • #1475

    andrewk
    Участник

    и btw lsauthent?

  • #1492

    bcast
    Участник

    Насколько я понял program_64 отвечает за программы, которые должны выполнятся в случае 64битной версии, у нас вроде такая, проверял командой найденой в гугле,сейчас не вспомню.
    /etc/krb5/krb5.conf настройки параметров выставлял такие же все как у тебя, на стороне виндовс создавал обычного пользователя, но kinit имя_пользователя_в_ад отрабатывал для любого пользователя. В понедельник попробую поискать конкретную галку про DES.
    lsauthent выводит Kerberos 5 и еще что-то (сейчас не помню), помню что задава chauthent -k5 -std.

  • #1493

    andrewk
    Участник

    про DES – я нагнал, это видимо из какой-то другой оперы. а вот program_64 я бы попробовал отключить. У меня тоже все 64-битное кроме кербероса 🙂

  • #1496

    bcast
    Участник

    Попробовал все тоже самое 🙁 Может поновее krb5.client.rte скачать? не в курсе откуда можно, а то сайт айбиэма уж очень неудобный

  • #1503

    Дмитрий
    Участник

    На сайте IBM (куда-ж деваться) находим FixCentral и качаем оттуда обновления к krb5.client.rte (а заодно – ко всему остальному).
    Прямая ссылка есть со “старого” Портала -> Downloads.

Для ответа в этой теме необходимо авторизоваться.