Проблемы миграции Kerberos — сервер Ubuntu

tag-icon tag-icon ubuntu active-directory kerberos
Проблемы миграции Kerberos — сервер Ubuntu

Мы находимся в процессе миграции Active Directory с сервера Debian на Ubuntu. LDAP (Slapd), libnss, kerberos, pam и nfs были настроены. Однако при попытке входа клиента сервер выдает ошибки Kerberos.

Kerberos был перенесен с помощью установки apt. Затем мы скопировали следующие файлы со старого сервера на новый: krb5.conf, krb5.keytab, krb5kdcкаталог и /var/lib/krb5kdcкаталог.

Sep 17 17:50:01 cs2s krb5kdc[2383]: AS_REQ (8 etypes {aes256-cts-hmac-sha1-96(18), aes128-cts-hmac-sha1-96(17), aes256-cts-hmac-sha384-192(20), aes128-cts-hmac-sha256-128(19), DEPRECATED:des3-cbc-sha1(16), DEPRECATED:arcfour-hmac(23), camellia128-cts-cmac(25), camellia256-cts-cmac(26)}) 10.0.0.90: NEEDED_PREAUTH: n.dajnowski@CS for krbtgt/CS@CS, Additional pre-authentication required
Sep 17 17:50:01 cs2s krb5kdc[2383]: AS_REQ (8 etypes {aes256-cts-hmac-sha1-96(18), aes128-cts-hmac-sha1-96(17), aes256-cts-hmac-sha384-192(20), aes128-cts-hmac-sha256-128(19), DEPRECATED:des3-cbc-sha1(16), DEPRECATED:arcfour-hmac(23), camellia128-cts-cmac(25), camellia256-cts-cmac(26)}) 10.0.0.90: ISSUE: authtime 1694973001, etypes {rep=aes256-cts-hmac-sha1-96(18), tkt=aes256-cts-hmac-sha1-96(18), ses=aes256-cts-hmac-sha1-96(18)}, n.dajnowski@CS for krbtgt/CS@CS
Sep 17 17:50:01 cs2s krb5kdc[2383]: TGS_REQ (8 etypes {aes256-cts-hmac-sha1-96(18), aes128-cts-hmac-sha1-96(17), aes256-cts-hmac-sha384-192(20), aes128-cts-hmac-sha256-128(19), DEPRECATED:des3-cbc-sha1(16), DEPRECATED:arcfour-hmac(23), camellia128-cts-cmac(25), camellia256-cts-cmac(26)}) 10.0.0.90: ISSUE: authtime 1694973001, etypes {rep=aes256-cts-hmac-sha1-96(18), tkt=aes256-cts-hmac-sha1-96(18), ses=aes256-cts-hmac-sha1-96(18)}, n.dajnowski@CS for host/cs2s.cs@CS
Sep 17 17:50:35 cs2s krb5kdc[2383]: AS_REQ (8 etypes {aes256-cts-hmac-sha1-96(18), aes128-cts-hmac-sha1-96(17), aes256-cts-hmac-sha384-192(20), aes128-cts-hmac-sha256-128(19), DEPRECATED:des3-cbc-sha1(16), DEPRECATED:arcfour-hmac(23), camellia128-cts-cmac(25), camellia256-cts-cmac(26)}) 10.0.0.254: NEEDED_PREAUTH: test@CS for krbtgt/CS@CS, Additional pre-authentication required
Sep 17 17:50:35 cs2s krb5kdc[2383]: preauth (encrypted_timestamp) verify failure: Preauthentication failed
Sep 17 17:50:35 cs2s krb5kdc[2383]: AS_REQ (8 etypes {aes256-cts-hmac-sha1-96(18), aes128-cts-hmac-sha1-96(17), aes256-cts-hmac-sha384-192(20), aes128-cts-hmac-sha256-128(19), DEPRECATED:des3-cbc-sha1(16), DEPRECATED:arcfour-hmac(23), camellia128-cts-cmac(25), camellia256-cts-cmac(26)}) 10.0.0.254: PREAUTH_FAILED: test@CS for krbtgt/CS@CS, Preauthentication failed

Клиент мигает черным экраном и возвращается к входу. Мы также протестировали это на старом сервере и получили следующее сообщение в журналах при успешном входе.

Успешный лог входа со старого сервера: Успешный лог входа со старого сервера

Я заметил, что старый сервер имеет cs2s.cs@CSвместо CS@CS. Поскольку я относительно новичок в этой технологии, пожалуйста, может ли кто-нибудь посоветовать, как правильно настроить новый сервер?

Связанный контент