28.3. Проверка конфигурации Kerberos
Для проверки конфигурации Kerberos, следует проверить, возможно ли получить билет для пользователя AD и может ли пользователь AD запрашивать служебные билеты.
Запросить билет для пользователя AD:
# kinit ivanov@test.alt
Password for ivanov@test.alt:
Запросить service ticket для сервиса из FreeIPA домена:
# kvno -S host $(hostname)
host/ipa.example.test@EXAMPLE.TEST: kvno = 2
Запросить service ticket сервиса из AD домена:
# kvno -S cifs dc1.test.alt
cifs/dc1.test.alt@TEST.ALT: kvno = 1
Если билет службы AD предоставлен, в списке билетов будет отображаться билет на предоставление билетов между областями (TGT) — krbtgt/IPA.DOMAIN@AD.DOMAIN (в примере: krbtgt/EXAMPLE.TEST@TEST.ALT):
# klist
Ticket cache: KEYRING:persistent:500:krb_ccache_QfXae5u
Default principal: ivanov@TEST.ALT
Valid starting Expires Service principal
07.09.2023 12:28:14 07.09.2023 22:27:51 cifs/dc1.test.alt@TEST.ALT
renew until 08.09.2023 12:27:46
07.09.2023 12:27:33 07.09.2023 22:27:51 host/ipa.example.test@EXAMPLE.TEST
renew until 08.09.2023 12:27:46
07.09.2023 12:28:05 07.09.2023 22:27:51 krbtgt/EXAMPLE.TEST@TEST.ALT
renew until 08.09.2023 12:27:46
07.09.2023 12:27:51 07.09.2023 22:27:51 krbtgt/TEST.ALT@TEST.ALT
renew until 08.09.2023 12:27:46