Доброго вечера всем неспящим.
Сразу к проблеме:
что имеем
есть домен-контроллер (ОС Windows Server 2003), так же на нём роль DNS
есть почтовый сервер (ОС AltLinux 6.0. Centaurus), программное обеспечение на нём: SMTP-сервер (postfix), IMAP-сервер (dovecot), вебсервер Apache httpd2 с прикрученным к нему mod_auth_kerb5.4 (ставил из исходников), web-морда для почты - roundcube-webmail 0.6, MySQL-сервер, а так же керберос
Оба сервера во одной подсети, она внутренняя - выхода в интернет не имеет.

цель: пользователь логинится в домене на своей машине, открывает браузер и тут же сразу попадает к списку своих входящих сообщений, не логинясь второй раз в почтовой системе
т.е. необходимо настроить , так называемую, прозрачную авторизацию (single sign on). Почтарь работает. Затык оказался в настройке кербероса на линухе

устанавливаю его через apt-get
после чего правлю конфиг /etc/krb5.conf
в конфиге пишу:


примечание - в конфиге dc2011.domain.com- виндовый домен-контроллер
domain.com - домен

после правки конфига запускаю утилиту
kdb5_util create -s
нам надо инициализировать базу кербероса
просят ввести мастер кей, ввожу, повторяю и всё норм.
проверяю - через kinit имя_уч_записи_в_домене@DOMAIN.COM выдается билет, который потом можно просмотреть через klist

но вот при попытке перезагрузки сервиса
service krb5kdc restart
вываливается ошибка FAILED


смотрю лог файл - tail /var/log/krb5kdc.log
а там пишется что ключ вроде как повреждён... 0_о
в логе следующее:



в общем затык. и никуда далее.. в гугле описание решения для исправления данной ошибки я не нашел, Помогите кто чем может ? два дня уже голову ломаю... =\
(если какие конфиги ещё надо выложить - скину)

Это сообщение отредактировал(а) Mannerghaim - 10.11.2011, 22:04

а зачем вам надо вообще с керберосом возиться?
если из-за доменов, есть пакет centrifydc (гугл)
очень удобно все это прикрывает утилитами вида adjoin, adleave, etc.