Estoy siguiendo las instrucciones aquí:
para intentar permitir que una máquina con Windows autentique los inicios de sesión contra un servidor FreeIPA en RHEL. Me pregunto si este podría ser un caso en el que no haya entendido las instrucciones en el enlace. Solo empecé a tratar con Kerberos recientemente y ocasionalmente me confundí con algunos conceptos y terminología.
La página indica que el comando ipa-getkeytab
se ejecute en el servidor FreeIPA para generar una tabla de claves (que supongo que contiene una nueva clave principal del host) para una máquina con Windows que se está kerberizando. En ningún momento de las instrucciones dice nada acerca de copiar la tabla de claves generada en la máquina con Windows. Aquí es donde siento que mi comprensión limitada de Kerberos comienza a desmoronarse.
Al unir máquinas Linux al servidor FreeIPA, el comando ipa-getkeytab
se usa en el host que se está uniendo (cliente) para solicitar una tabla de claves del servidor FreeIPA. Esto me ha llevado a pensar que una máquina con Windows también tendría que obtener un keytab del servidor FreeIPA de alguna manera, pero las instrucciones para unirse a las máquinas con Windows solo dicen que ejecutar el comando ipa-getkeytab
directamente en el servidor FreeIPA.
Si la máquina Windows no tiene una tabla de claves con la clave principal del host, ¿estaría en lo correcto al decir que no podría usar Kerberos para autenticarse y obtener un ticket?
Si lo contrario es cierto, ¿podría alguien explicar cómo funcionaría?