27.3. Проверка конфигурации Kerberos

⁠27.3. Проверка конфигурации Kerberos

Для проверки конфигурации Kerberos, следует проверить, возможно ли получить билет для пользователя AD и может ли пользователь AD запрашивать служебные билеты.

Получить билет пользователя AD:

$ kinit ivanov@test.alt
Password for ivanov@test.alt:

Запросить service-билеты:

$ kvno -S host $(hostname)    # для FreeIPA
host/ipa.example.test@EXAMPLE.TEST: kvno = 2

$ kvno -S cifs dc1.test.alt   # для AD
cifs/dc1.test.alt@TEST.ALT: kvno = 1

Проверить наличие межобластного TGT:

$ klist
Ticket cache: KEYRING:persistent:0:krb_ccache_ls3PXsa
Default principal: ivanov@TEST.ALT

Valid starting       Expires              Service principal
17.09.2025 19:00:55  18.09.2025 05:00:30  cifs/dc1.test.alt@
        renew until 18.09.2025 19:00:24
        Ticket server: cifs/dc1.test.alt@TEST.ALT
17.09.2025 19:00:45  18.09.2025 05:00:30  host/ipa.example.test@EXAMPLE.TEST
        renew until 18.09.2025 19:00:24
17.09.2025 19:00:45  18.09.2025 05:00:30  krbtgt/EXAMPLE.TEST@TEST.ALT
        renew until 18.09.2025 19:00:24
17.09.2025 19:00:30  18.09.2025 05:00:30  krbtgt/TEST.ALT@TEST.ALT
        renew until 18.09.2025 19:00:24

В выводе должен присутствовать билет:

krbtgt/EXAMPLE.TEST@TEST.ALT