KWTS + LDAP Kerberos erros "(-1765328360): Preauthentication failed"

[Hemmyro]

Доброго времени суток.
Настраиваю связанность KWTS с LDAP для указания пользователей при создании правил. Для начала по статье "https://support.kaspersky.com/KWTS/6.1/ru-RU/166541.htm" настроил все у себя на стенде с доменном lab.local.

Примечание.

1)Читал что для работы с доменами local требуется убедится в запущенности Avahi-daemon, но у меня его в новой инсталляции не оказалось, так-же он отсутствует на проде где тоже домен local. Но без него все удачно запустилось на стенде.

2) На стенде не указывал "...поддерживает 256-разрядное..." у пользователя и все работало.

 

Шаги которые делал:

1) Сделал A и PTR запись для контроллера домена и моей ноды kwts. nslookup удачен в обоих направлении прямо с консоли kwts.

2) Создал нового пользователя в группе "пользователи домена", запретил ему смену пароля, установил ему "...поддерживает 256-разрядное..."

3) Создал на его основе keytab файл командой "C:\Windows\system32\ktpass.exe -princ *****@*****.tld -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out C:\Users\admin\Desktop\kwts.keytab"

4) Загрузил данный файл в "Соединение c LDAP-сервером", указал базу поиска "DC=lab,DC=local", нажал синхронизация и все заработало. В дампе вижу такое:

Решив что достиг дзена в данной теме (т.к. не все сразу завелось) данные действия были предприняты на проде, где уже соединение было неудачное. За исключением ошибки что пользователь заблокирован (т.к. по политикам пользователь уходил в блокировку из-за ддоса запросами на соединение которые были не удачными) постоянно стал ловить данную ошибку "cannot retrieve domain data from ldapCheckFailedException - Kerberos error (-1765328360): Preauthentication failed - Cannot get initial credentials using a key table"

NTP сервером указан сам AD к которому идет обращение, разница в времени допустимая для kerberos, пароль в keytab файле верный, установлено "...поддерживает 256-разрядное..." у пользователя, DNS записи созданы.

При сравнении запросов от kwts в ваершарке разница между продом и стендом только в "realm", на стенде он пишет все заглавными, а на проде в нижнем регистре, но в "salt" оба пишут в верхнем. Все остальное идентично.

Может кто-то сталкивался и смог решить данную проблему? т.к. для меня странно что на стенде все работает с пол тычка, а на проде не хочет синхронизироваться. 

[Hemmyro]

Проблема решена. По итогу была проблема в создании keytab файла. его все это время создавали с доменном в нижнем регистре, после замены синхронизация пошла. 

Так-же есть рекомендации по данной ошибке.

Параметр -pass * не рекомендуется, лучше прописывать пароль в команде.

Не использовать в пароле спец символы.

Edited July 30 by Hemmyro