Получение и добавление файла keytab

Keytab-файлы используются для аутентификации в системах, использующих Kerberos. Для получения keytab-файла на контроллере домена и добавления его на сервер, где установлен Termidesk, необходимо выполнить ряд действий.

Действия на контроллере домена (например, FreeIPA):

  • получить доступ к контроллеру домена в режиме интерфейса командной строки;
  • получить kerberos-ticket для пользователя с полномочиями администратора домена при помощи команды:
:~$ sudo kinit admin
BASH
  • выполнить команду для добавления узла:
:~$ sudo ipa host-add --force --ip-address=192.0.2.30 disp.termidesk.local
BASH

где:

--force - флаг для принудительного создания;

--ip-address - задание IP-адреса целевого узла;

192.0.2.30 - IP-адрес сервера, где установлен Termidesk,

disp.termidesk.local - мнимый FQDN узла в текущем домене (в примере termidesk.local);

Здесь и далее примеры IP-адресов приведены в соответствии с RFC 5737. Указанные IP-адреса должны быть заменены на актуальные, используемые согласно схеме адресации, принятой в инфраструктуре предприятия.

Мнимый FQDN означает, что он не обязательно должен быть привязан к действительно существующему узлу.

  • выполнить команду добавления службы для нового сервисного аккаунта:
:~$ sudo ipa service-add HTTP/disp.termidesk.local
BASH
  • создать файл termidesk.keytab для сервисного аккаунта:
:~$ sudo ipa-getkeytab -s freeipa.termidesk.local -p HTTP/disp.termidesk.local -k /home/user/termidesk.keytab
BASH

где:

-s freeipa.termidesk.local - задание FQDN сервера-контроллера домена FreeIPA;

-p HTTP/disp.termidesk.local - указание ранее созданного субъекта-службы;

-k /home/user/termidesk.keytab - сохранение в файл termidesk.keytab;

Неважно, для какого узла создан keytab, необходимо само его наличие.

  • передать полученный файл termidesk.keytab на узел Termidesk, например, воспользовавшись командой:
:~$ sudo scp termidesk.keytab localuseruser@192.0.2.30:termidesk.keytab
BASH

где:

localuser   - имя пользователя целевого узла;

192.0.2.30 - IP-адрес сервера, где установлен Termidesk.

После передачи файла на узле Termidesk необходимо выполнить следующее:

  • переместить файл termidesk.keytab в каталог /etc/opt/termidesk-vdi:
:~$ sudo mv /home/user/termidesk.keytab /etc/opt/termidesk-vdi/
BASH
  • сделать владельцем этого файла пользователя termidesk:
:~$ sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/termidesk.keytab
BASH
  • перезапустить службу termidesk-vdi:
:~$ sudo systemctl restart termidesk-vdi
BASH