В большой AD (как у меня) могут использоваться AD Sites — для распределения нагрузки на разные сервера согласно сетевым адресам клиентов. Windows знает о существовании AD Sites и может выдать нужный kdc для клиента. Linux же полагается только на то, что вернёт dns запрос, поэтому запрос авторизации может уйти на удалённый kdc к которому нет доступа из подсети клиента, и тогда авторизация зависнет и потом завершиться неудачно.
Видимо поэтому в большинстве примеров конфигов dns_lookup_kdc=no
У меня тоже не получилось заставить linux обращаться только к kdc расположенных в локальном сайте и пришлось прописать эту опцию.
Если подскажите как заставить linux обращаться к kdc только в своей подсети буду благодарен.
Dns запрос, в моём случае, всегда возвращает полный список всех kdc домена.
Не было проблем с java апплетами и Kerberos авторизацией? В апплетах похоже работает только ntlm авторизация. Java в браузере, конечно уже мертва, но у меня есть один государственный сайт, который работает только через апплеты. Приходится выкручиваться.
Видимо поэтому в большинстве примеров конфигов dns_lookup_kdc=no
У меня тоже не получилось заставить linux обращаться только к kdc расположенных в локальном сайте и пришлось прописать эту опцию.
Если подскажите как заставить linux обращаться к kdc только в своей подсети буду благодарен.
Dns запрос, в моём случае, всегда возвращает полный список всех kdc домена.