Hard&Soft experiments

Для аутентификации клиентов Windows на сервере Kerberos необходимо:

1. Для аутетификации клиентов в Kerberos, кроме пользователей, необходимо добавить host principal для каждого компьютера, пользователи которого будут аутетифицироваться в Kerberos. Для этого:
   1. Создайте файл host_ou.ldif c содержимым:
      
      dn: ou=hosts,dc=org1,dc=net
      objectClass: organizationalUnit
      objectClass: top
      description: ORG1 hosts
      ou: hosts

      dn: ou=hosts,dc=org2,dc=net
objectClass: organizationalUnit
objectClass: top
description: ORG2 hosts
ou: hosts


   2. Выполните команды:
      
kadmin.local -r ORG1.NET -q 'ank -e rc4-hmac:normal -x containerdn="ou=hosts,dc=org1,dc=net" -pw [hostpw1] host/userhost1.org1.net'
kadmin.local -r ORG2.NET -q 'ank -e rc4-hmac:normal -x containerdn="ou=hosts,dc=org2,dc=net" -pw [hostpw2] host/userhost2.org2.net'

      где [hostpw?] – пароли для компьюторов
2. Наличие на клиенте утилит ksetup.exe и ktpass.exe – данные утилиты находятся в Windows Support Tools (http://www.microsoft.com/en-us/download/details.aspx?id=18546, http://www.microsoft.com/en-us/download/details.aspx?id=15326) – для Windows XP, в Windows7 эти утилиты устанавливаются вместе с системой
3. для подключения к домену ORG2.NET необходимо выполнить следующие команды:
   
ksetup.exe /SetDomain ORG2.NET
ksetup.exe /AddKdc ORG2.NET kdc.org2.net
ksetup.exe /AddKpasswd ORG2.NET kdc.org2.net
ksetup.exe /MapUser * *
ksetup.exe /SetComputerPassword [hostpw2]

   где [hostpw2] – пароль для данного компьютора, назначенный на сервере