Проверим настройки специальной программой.

# verify_krb5_conf

verify_krb5_conf: /kdc/database/log_file: unknown entry

verify_krb5_conf: /kdc/database/acl_file: unknown entry

Сообщения игнорируем, так как они ошибочные. Можно или собрать более свежую версию verify_krb5_conf, или сразу писать авторам сообщение об ошибке.

Прокомментирую секцию kdc и оператор database. Внутри указывается контейнер LDAP, в котором будут размещаться записи, используемые Kerberos. Дополнительно определим файл протокола и файл с установками ограничений доступа к самой базе со стороны принципалов. Эти строки надо указывать обязательно. Но Kerberos работает со своей базой на очень примитивном уровне и поэтому не имеет возможности анализировать специфические ошибки LDAP. Иначе говоря, он не может распознать отсутствие подготовленного контейнера в LDAP и создать его самостоятельно. Значит, нужно предварительно создать контейнер для Kerberos ou=KerberosPrin-cipals,dc=office,dc=localnet. Для этого подготовим данные в специальном файле kerberos.ldif.

# cat kerberos.ldif

dn: ou=KerberosPrincipals,dc=office,dc=localnet

ou: KerberosPrincipals

objectClass: top

objectClass: organizationalUnit

objectClass: domainRelatedObject

associatedDomain: office.localnet

Здесь отмечу одну забавную особенность. На сайте [4] в описании аналогичной настройки записан контейнер с ou= KerberosPrincpals, который отличается отсутствием буквы «i» в слове «Principals». Это именно описка, поскольку там же в примере с ldapsearch приведен грамматически правильный вариант. Но тем не менее многими такая форма была воспринята как стандарт и бездумно повторена. Этот случай свидетельствует о высоком уровне априорного доверия всякому экспертному мнению в области компьютерной безопасности.

Создадим контейнер для Heimdal.

# ldapadd -v -H ldap://localhost -D "cn=ldapadmin,dc=office,dc=localnet" -x -w secret -f kerberos.ldif

ldap_initialize( ldap://localhost )

add ou:

        KerberosPrincipals

add objectClass:

        top

        organizationalUnit

        domainRelatedObject

add associatedDomain:

        office.localnet

adding new entry "ou=KerberosPrincipals,dc=office,dc=localnet"

modify complete