25.7.4. Verificando a configuração do Kerberos
Para verificar a configuração do Kerberos, testar se é possível obter um bilhete para um usuário de Gerenciamento de Identidade (IdM) e se o usuário do IdM pode solicitar bilhetes de serviço.
Procedimento
Solicite um ticket para um usuário do Active Directory (AD):
[root@ipaserver ~]# kinit user@AD.EXAMPLE.COM
Solicitar tickets de serviço para um serviço dentro do domínio IdM:
[root@server ~]# kvno -S host server.idm.example.com
Se o ingresso de serviço AD for concedido com sucesso, há um ingresso de concessão cruzada (TGT) listado com todos os outros ingressos solicitados. O nome do TGT é krbtgt/IPA.DOMAIN@AD.DOMAIN.
[root@server ]# klist Ticket cache: KEYRING:persistent:0:krb_ccache_hRtox00 Default principal: user@AD.EXAMPLE.COM Valid starting Expires Service principal 03.05.2016 18:31:06 04.05.2016 04:31:01 host/server.idm.example.com@IDM.EXAMPLE.COM renew until 04.05.2016 18:31:00 03.05.2016 18:31:06 04.05.2016 04:31:01 krbtgt/IDM.EXAMPLE.COM@AD.EXAMPLE.COM renew until 04.05.2016 18:31:00 03.05.2016 18:31:01 04.05.2016 04:31:01 krbtgt/AD.EXAMPLE.COM@AD.EXAMPLE.COM renew until 04.05.2016 18:31:00
O plug-in localauth
mapeia os principais nomes de usuários locais do Kerberos System Security Services Daemon (SSSD). Isto permite aos usuários AD usar a autenticação Kerberos e acessar serviços Linux, que suportam a autenticação GSSAPI diretamente.