具有可信 Windows 域的 kerberos
[英]kerberos with trusted Windows Domains
问题描述
I have 2 Windows domains - DOMAINA and DOMAINB with a 2 way trust between them.
我有 2 个 Windows 域——DOMAINA 和 DOMAINB,它们之间有 2 路信任。 An account created in DOMAINA has admin rights to DOMAINB and can access the member servers in DOMAINB with full admin rights.在 DOMAINA 中创建的帐户对 DOMAINB 具有管理员权限,并且可以以完全管理员权限访问 DOMAINB 中的成员服务器。
I have a linux server which uses kerberos to access the servers in DOMAINB using the account from DOMAINA.我有一个 linux 服务器,它使用 kerberos 使用来自 DOMAINA 的帐户访问 DOMAINB 中的服务器。 This works oerfectly well - in the /etc/krb5.conf file I have:这工作得很好 - 在我的 /etc/krb5.conf 文件中:
DOMAINA.LOCAL = {
kdc = dc1.domaina.local
}
DOMAINB.LOCAL = {
kdc = dc1.domaina.local
}
This works as long as the Domain Controllers in each domain are visible to the Linux server.只要每个域中的域控制器对 Linux 服务器可见,这就会起作用。 However - the situation here is that the DC from DOMAINB is NOT accessable (firewalled off) to the linux server.但是 - 这里的情况是 linux 服务器无法访问(防火墙关闭)来自 DOMAINB 的 DC。 Only the DC from DOMAINA can be reached from the linux server, as can servers in DOMAINB. linux 服务器和 DOMAINB 中的服务器一样,只能访问来自 DOMAINA 的 DC。
Is there any way to configure kerberos so that a ticket can be granted for access to DOMAINB using the account in DOMAINA, but without contacting the DC for DOMAINB??有没有办法配置 kerberos,以便可以使用 DOMAINA 中的帐户授予访问 DOMAINB 的票证,但无需联系 DOMAINB 的 DC?
The DCs from DOMAINA and DOMAINB can contact each other.来自DOMAINA 和DOMAINB 的DC 可以相互联系。
1 个解决方案
解决方案1
0 2021-04-26 15:58:07
No. The admin in Domain A is getting a ticket referral to Domain B, where Domain B issues the service ticket for the application.否。域 A 中的管理员正在获得到域 B 的票证推荐,域 B 在该域 B 为应用程序颁发服务票证。
If you want Domain A to issue tickets to the application you need to configure the application to accept tickets from domain A.如果您希望域 A 向应用程序发出票证,您需要将应用程序配置为接受来自域 A 的票证。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.