Keytabs erzeugen

[izakstern 0]

Hallo zusammen,

 

leider verstehe ich die KeyTabs nicht ganz. Ich hoffe jemand kann mir helfen. Wenn ich einen KeyTab dazu benutzen möchte, um außerhalb der Domäne einen Service über einen SPN bereitzustellen verstehe ich die Erstellung und alles ist gut. Wenn ich jedoch einen KeyTab erstellen möchte der dem Domänenfremden Server/Benutzer nur dazu dient sich an der Domäne anzumelden, z.b. um Datenbankabfragen auf einen SQL-Server über Kerberos zu machen, dann verstehe ich die Erstellung nicht.

 

Also Beispiel:

Ich erstelle einen Benutzer "fremdbenutzer" und berechtige ihn auf der SQL-Datenbank. Nun möchte das Fremdsystem über einen Keytab sich am SQL-Server anmelden.

 

ktpass /out <pfad> /princ <?????> /mapuser <????> /pass * [...]

 

In diesem Fall möchte ich ja garkeinen SPN an einen Nutzer mappen, da dieser ja keinen Service bereitstellt. Weiß jemand Rat? Wo ist der Gedankenfehler?

 

Danke!

 

LG

[Dukel 451]

Die KeyTabs brauchst du um einem Domänenbenutzer (Service Account) Kerberos beizubringen, z.B. für ein Linux Webserver.

Um sich an der DB einzuloggen gibt man entweder ein Domänenuser / Passwort an (bzw. via Kerberos mit kinit) oder man braucht einene Trust für eine fremde Domäne.

[izakstern 0]

Hallo Dukel,

 

Ja soweit ist mir das alles klar, jedoch ist die Anforderung eben ein KeyTab für die Anmeldung. Ist vielleicht die Information, dass man sich mit einem Keytab anmelden kann bzw. ein Keytab nur zur Anmeldung genutzt wird, falsch? Mh, werde das nochmal prüfen.

 

Vielen Dank trotzdem.

 

LG Hendrik

[Dukel 451]

Vermutlich.

Keytab wird für Services genutzt. Wenn sich ein User (interaktiv) anmelden möchte nutzt er kinit.

 

EDIT:

Man kann mit kinit ein keytab File nutzen.

https://kb.iu.edu/d/aumh#use

 

Was ist denn genau das Ziel des ganzen?

bearbeitet 27. April 2020 von Dukel

[izakstern 0]

Habe soeben nochmal einen Technet-Artikel gefunden, der es auch schreibt: Also Keytabs werden wohl auch genutzt, damit z.B. Linuxsysteme einen Keytab im Dateisystem anstelle von Configfiles inkl. Benutzername und Kennwort speichern.

 

https://social.technet.microsoft.com/wiki/contents/articles/36470.active-directory-using-kerberos-keytabs-to-integrate-non-windows-systems.aspx?Sort=MostUseful&PageIndex=1

 

Leider werde ich aus dem Artikel auch nicht schlauer. Auch die Beschreibungen sind mir unklar.

 

Der Parameter /princ beschreibt den SPN. In der MS-Doku von ktpass (https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/ktpass)steht aber nur "principal name". Wenn das Absicht ist, dann weiß ich eben nicht wie der Prinzipalname angegeben werden soll. (Da ich den Serviceidentifier, z.B. HTTP oder MSSQL etc. ja nicht kenne bzw. es ihn nicht gibt).

 

Nachtrag: 

Man kann die Datei erstellen, wenn man nur /princ (ohne /mapuser) angibt, und anstelle des SPNs einfach den Benutzernamen "fremdbenutzer@DOMAIN.DE". Die Ausgabe von ktpass warnt einen dann aber, der Account würde innerhalb der Domäne nicht funtionieren (Was auch immer sie mit innerhalb meinen).

 

--> ktpass /princ fremdbenutzer@DOMAIN.de /out <pfad> /pass rndpass

 

Danke, ich werde mal Deinen Hinweis nutzen und das so erstellte Keytab mit kinit testen

 

 

bearbeitet 27. April 2020 von izakstern

[Dukel 451]

Die Frage ist, ob du überhaupt eine KeyTab Datei brauchst. Ob Kinit nicht reicht.

[izakstern 0]

Hallo Dukel,

 

nun hat es geklappt. Entgegen der Doku kann man wie beschrieben einfach den Benutzernamen "user@DOMAIN.DE" im /princ-Parameter verwenden und die ktpass-Warnung ignorieren. Zusätzlich muss man den ptype angeben, da dieser in diesem Szenario nicht automatisch gesetzt wird.

 

Ein Test mit kinit und dem keytab verlief dann positiv.

 

Der Vollständigkeit halbar: Ja man kann sich mit kinit natürlich auch ohne keytab-Anmelden (einfach mit Zugangsdaten). Für mich war hier kinit jedoch nur ein Produkt um die Funktion des keytabs zu testen.

 

Vielen Dank für die Hinweise!