Кросс-доменная аутентификация Alfresco kerberos завершается неудачно с KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN

У меня проблема с аутентификацией Kerberos с несколькими доменами. Я использую Alfresco 4.2f на Windows Server 2012 R2, и у меня есть доверие леса (функциональный уровень 2008 r2) между двумя доменами.

Моя настройка междоменного домена kerberos похожа на текст документа: https://community.alfresco.com/external-link.jspa?url=https%3A%2F%2Fissues.alfresco.com%2Fjira%2Fbrowse%2FMNT-10368

Проблема в том, что я могу нормально входить в систему с пользователями из моего основного домена, но не с пользователями из моего второго домена.

Я проследил пакеты krb5 с помощью wireshark, и если я пытаюсь войти со второго домена, я получаю следующий пакет: "Ошибка KRB5: KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN". В этом пакете я вижу, что пользователь из второго домена пытается аутентифицироваться в области из основного домена.

Проблема точно такая же, как здесь (без ответа): https://community.alfresco.com/thread/176568-kerberos-with-multiple-domains-on-share-40d

Вот мой krb5.ini:

[libdefaults]
default_realm = DOMAIN1.LOC
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 2h
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac

[realms]
DOMAIN1.LOC = {
 kdc = dc01.domain1.loc:88
 admin_server = dc01.domain1.loc:749
 default_domain = domain1.loc
}
DOMAIN2.LOC = {
 kdc = dc01.domain2.loc:88
 admin_server = dc01.domain2.loc:749
 default_domain = domain2.loc
}

[domain_realm]
dc01.domain1.loc = DOMAIN1.LOC
.dc01.domain1.loc = DOMAIN1.LOC
dc01.domain2.loc = DOMAIN2.LOC
.dc01.domain2.loc = DOMAIN2.LOC

Вот мой конфиг подсистемы Kerberos:

ntlm.authentication.sso.enabled=true
kerberos.authentication.realm=DOMAIN1.LOC
kerberos.authentication.sso.enabled=true
kerberos.authentication.user.configEntryName=Alfresco
kerberos.authentication.http.configEntryName=AlfrescoHTTP
kerberos.authentication.http.password=HighSecure
kerberos.authentication.authenticateCIFS=false
kerberos.authentication.browser.ticketLogons=true

Надеюсь, кто-нибудь может привести меня в правильном направлении.

Благодарю.

Бета

0 ответов

Другие вопросы по тегам