Для проверки конфигурации Kerberos, следует проверить, возможно ли получить билет для пользователя AD и может ли пользователь AD запрашивать служебные билеты.

Запросить билет для пользователя AD:

# kinit ivanov@test.alt
Password for ivanov@test.alt:

Запросить service ticket для сервиса из FreeIPA домена:

# kvno -S host $(hostname)
host/ipa.example.test@EXAMPLE.TEST: kvno = 2

Запросить service ticket сервиса из AD домена:

# kvno -S cifs dc1.test.alt
 cifs/dc1.test.alt@TEST.ALT: kvno = 1

Если билет службы AD предоставлен, в списке билетов будет отображаться билет на предоставление билетов между областями (TGT) — krbtgt/IPA.DOMAIN@AD.DOMAIN (в примере: krbtgt/EXAMPLE.TEST@TEST.ALT):

# klist
Ticket cache: KEYRING:persistent:500:krb_ccache_QfXae5u
Default principal: ivanov@TEST.ALT


Valid starting       Expires              Service principal
07.09.2023 12:28:14  07.09.2023 22:27:51  cifs/dc1.test.alt@TEST.ALT
	renew until 08.09.2023 12:27:46
07.09.2023 12:27:33  07.09.2023 22:27:51  host/ipa.example.test@EXAMPLE.TEST
	renew until 08.09.2023 12:27:46
07.09.2023 12:28:05  07.09.2023 22:27:51  krbtgt/EXAMPLE.TEST@TEST.ALT
	renew until 08.09.2023 12:27:46
07.09.2023 12:27:51  07.09.2023 22:27:51  krbtgt/TEST.ALT@TEST.ALT
	renew until 08.09.2023 12:27:46