Sto seguendo le istruzioni qui:
per provare a consentire a un computer Windows di autenticare gli accessi su un server FreeIPA su RHEL. Mi chiedo se questo potrebbe essere un caso di me frainteso le istruzioni nel link. Ho iniziato a trattare con Kerberos solo recentemente e mi ritrovo occasionalmente a confondermi su alcuni concetti e terminologia.
La pagina indica che il comando ipa-getkeytab
deve essere eseguito sul server FreeIPA per generare un keytab (che presumo contiene una nuova chiave principale host) per una macchina Windows sottoposta a kerberizzazione. In nessun punto delle istruzioni si dice qualcosa sulla copia che ha generato il keytab sulla macchina Windows. È qui che sento che la mia comprensione limitata di Kerberos inizia a districarsi.
Quando si uniscono le macchine Linux al server FreeIPA, il comando ipa-getkeytab
viene utilizzato sull'host che si unisce (client) per richiedere un keytab dal server FreeIPA. Questo mi ha portato a pensare che una macchina Windows avrebbe dovuto ottenere un keytab dal server FreeIPA in qualche modo, ma le istruzioni per unire le macchine Windows dicono solo di eseguire il comando ipa-getkeytab
direttamente sul server FreeIPA.
Se il computer Windows non ha un keytab con la chiave principale host, dovrei essere corretto nel dire che non sarebbe in grado di utilizzare Kerberos per autenticare e ottenere un ticket?
Se è vero il contrario, qualcuno potrebbe spiegare come potrebbe funzionare?