КЭШ LDAP пуст

[cepewka]

Коллеги, пробую развернуть kwts,

создал уз , сделал keytab

ktpass.exe -princ k w t s @D O M A I N. L O C A L -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass PrivetMedved03 -out C:\tmp\kwts.keytab

но получаю ошибку КЭШ LDAP пуст

Edited October 31, 2023 by cepewka

[ElvinE5]

Попробуйте так

создайте пользователя по правилам

https://support.kaspersky.com/KWTS/6.1/ru-RU/233047.htm

укажите в свойствах УЗ что пароль не истекает, и что поддерживается 256 разрядное шифрования

Спойлер

 

пример команды ... выполняется на DC

C:\Windows\system32\ktpass.exe -princ kwts.ldap.user@<ВАШ.ДОМЕН в верхнем регистре> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <пароль пользователя kwts.ldap.user> -out c:\kwts.ldap.keytab

 

у вас ошибка что нет соединение с контролером домена.

[cepewka]

4 часа назад, ElvinE5 сказал:

Попробуйте так

создайте пользователя по правилам

https://support.kaspersky.com/KWTS/6.1/ru-RU/233047.htm

укажите в свойствах УЗ что пароль не истекает, и что поддерживается 256 разрядное шифрования

  Скрыть контент

 

пример команды ... выполняется на DC

C:\Windows\system32\ktpass.exe -princ kwts.ldap.user@<ВАШ.ДОМЕН в верхнем регистре> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <пароль пользователя kwts.ldap.user> -out c:\kwts.ldap.keytab

 

у вас ошибка что нет соединение с контролером домена.

Здравствуйте, да все так и сделал. но результата нету=(

[cepewka]

https://support.kaspersky.com/KWTS/6.1/ru-RU/233047.htm тут неверный лайн код

 

вот как нужно, мб кому-то поможет

ktpass.exe -princ HTTP/kwts.d-o-m-a-n.l-o-c-a-l@D-O-MA-N.L-O-C-A-L -mapuser kwts@d-o-m-a-n.l-o-c-a-l -crypto AES256-SHA1 -pass xxxxxxxx -ptype KRB5_NT_PRINCIPAL -out "C:\temp\kwts.keytab"

[Demiad]

@cepewka, добрый день.

Вы сделали keytab по инструкции для SSO, то есть:
https://support.kaspersky.com/KWTS/6.1/ru-RU/206091.htm

Некоторое время назад я настраивал LDAP-подключение и SSO. Инструкции были мной проверены, работало.

[cepewka]

нет, я не настраивал по этой инструкции, как вы можете заметить, у меня нету дампа соли и прочего.

и вот эта строчка у меня совсем другая.  HTTP/<полное доменное имя (FQDN) Управляющего узла>@<realm имя домена Active Directory в верхнем регистре>

и если ещё почитать тут - там тоже не завелось.

 

Edited November 2, 2023 by cepewka

[cepewka]

сейчас ещё попробовал вот так, тоже работает  (ktpass.exe -princ HTTP/dc01.d-o-m-a-n.l-o-c-a-l@D-O-MA-N.L-O-C-A-L -mapuser kwts@D-O-MA-N.L-O-C-A-L -crypto AES256-SHA1 -pass HelloWorld77 -ptype KRB5_NT_PRINCIPAL -out "C:\temp\kwts.keytab") , но как написано вот тут, не работало.  https://support.kaspersky.com/KWTS/6.1/ru-RU/233047.htm

Там даже при создании keytab он ругается.

NOTE: creating a keytab but not mapping principal to any user.
For the account to work within a Windows domain, the
principal must be mapped to an account, either at the
domain level (with /mapuser) or locally (using ksetup)
If you intend to map kwts@D-O-MA-N.L-O-C-A-L to an account through other means
or don't need to map the user, this message can safely be ignored.
WARNING: pType and account type do not match. This might cause problems.
Key created.
Output keytab to C:\temp\kwts.keytab
Keytab version: 0x502

[cepewka]

Коллеги, я так много тут всего написал, вот эталонная строка, все заработало со свистом. спасибо всем.

(ktpass.exe -princ HTTP/имя сервера KWTS.d-o-m-a-n.l-o-c-a-l@D-O-MA-N.L-O-C-A-L -mapuser kwts@D-O-MA-N.L-O-C-A-L -crypto AES256-SHA1 -pass HelloWorld77 -ptype KRB5_NT_PRINCIPAL -out "C:\temp\kwts.keytab") ,

Edited November 2, 2023 by cepewka