Auflisten aller Principals

Hi!

Wie kann ich auf einem Univention Server alle Principals auflisten?

kadmin list *

funktioniert leider nicht, da das System dann nach dem Passwort eines Benutzers root/admin@REALM fragt. Ich habe es mit

kdamin -p Administrator/admin@REALM

probiert. Ergebnis: auch dieser Benutzer ist nicht bekannt. Gibt es überhaupt Benutzer, die das Attribut “admin” haben? In einer Default-Installation von UCS?

Hallo,

in einer NT (Samba 3) Domäne können Sie “kadmin -l” verwenden, so werden die Daten aus dem LDAP gelesen/angezeigt.
In einer AD (Samba 4) Umgebung funktioniert kadmin ggf. noch nicht korrekt. Hier ist es am einfachsten die Daten direkt aus dem AD zu lesen, z.B.:univention-s4search '(|(userPrincipalName=*)(servicePrincipalName=*))' userPrincipalName servicePrincipalName

Mit freundlichen Grüßen
Janis Meybohm

Since a simple “kadmin listprincs” did not work I’ve tried the second way:

#univention-s4search ‘(|(userPrincipalName=)(servicePrincipalName=))’ userPrincipalName servicePrincipalName | grep -i nc158-muc-v4
params.c:pm_process() - Processing configuration file “/etc/samba/base.conf”
params.c:pm_process() - Processing configuration file “/etc/samba/installs.conf”
params.c:pm_process() - Processing configuration file “/etc/samba/printers.conf”
params.c:pm_process() - Processing configuration file “/etc/samba/local.conf”
GENSEC backend ‘gssapi_spnego’ registered
GENSEC backend ‘gssapi_krb5’ registered
GENSEC backend ‘gssapi_krb5_sasl’ registered
GENSEC backend ‘schannel’ registered
GENSEC backend ‘spnego’ registered
GENSEC backend ‘ntlmssp’ registered
GENSEC backend ‘krb5’ registered
GENSEC backend ‘fake_gssapi_krb5’ registered
dn: CN=nc158-muc-v4,CN=clients,CN=computers,OU=muc,DC=test,DC=test
userPrincipalName: host/nc158-muc-v4.test.test@TEST.TEST

Next I’ve tried to export the keytab using ktutil:

#ktutil -k ~/nc158-muc-v4_host.keytab get host/nc158-muc-v4.test.test@TEST.TEST

Again I am asked to enter password for principal root/admin@TEST.TEST! This user doesn’t exist. I thought about using “Administrator”: “kinit Administrator”. The requested Password I knew. Tickets where created an available. Since exporting a keytab needs admin rights I suspected to be asked again for password for “administrator/admin@TEST.TEST” trying to export the keytab. Yes it was. The known passwort for “Administrator” didn’t match!

How do I export a keytab with UCS without any kerberos admin user (no user having “/admin” option set?

Hallo,

ich habe einen kurzen SDB Artikel verfasst um die Fragen hier zu klären: sdb.univention.de/1275

Mit freundlichen Grüßen
Janis Meybohm

1 Like
Mastodon