Si deseas iniciar sesión en un dominio desde un sistema Linux sin unir el equipo al dominio, puedes utilizar el comando kinit para obtener un ticket Kerberos y luego iniciar sesión utilizando ese ticket. Aquí tienes los pasos:
Instalar paquetes necesarios: Asegúrate de tener instalado el paquete krb5-user.
En caso de que necesites instalarlo puedes hacerlo con:
sudo apt install krb5-user
Imaginemos que nuestro dominio se llama TEST.COM y el servidor de dominio SRVDOMINIO1. La instalación pregunta por el reino de Kerberos y el servidor de acceso que suelen coincidir con el nombre del dominio y el nombre del servidor de dominio. Estos datos luego se pueden cambiar editando el fichero /etc/krb5.conf el cual debería quedar de esta forma.
[libdefaults]
default_realm = TEST.COM
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
rdns = false
fcc-mit-ticketflags = true
[realms]
TEST.COM = {
kdc = test.com
admin_server = SRVDOMINIO1.test.com
}
[domain_realm]
.test.com = TEST.COM
test.com = TEST.COM
Obtener un ticket Kerberos: Utiliza el comando kinit para obtener un ticket Kerberos para el usuario del dominio. IMPORTANTE LAS MAYÚSCULAS DEL DOMINIO. Este comando te pedirá tu contraseña actual.
kinit usuario@TEST.COM
Si quieres comprobar que ya tienes un ticket valido puedes hacerlo con el siguiente comando
klist
Cambiar la contraseña: Utiliza el comando kpasswd para cambiar la contraseña del usuario. Se te pedirá tu contraseña actual y luego dos veces tu nueva contraseña.
kpasswd
Y con esto hemos terminado.
Si tienes acceso al dominio y quieres encontrar los datos necessarios para configurar el fichero /etc/krb5.conf en un entorno de Active Directory en Windows, puedes utilizar el cmdlet Get-ADDomain para obtener el nombre del reino Kerberos:
powershell
(Get-ADDomain).DNSRoot
Este comando devolverá el nombre completo del reino Kerberos en el formato FQDN (Fully Qualified Domain Name). Por ejemplo, si el nombre del reino Kerberos es example.com, este comando devolverá example.com.
Para obtener el servidor administrativo (Kadmin) de un reino Kerberos en un entorno de Active Directory en Windows mediante PowerShell, puedes usar el siguiente comando:
Resolve-DnsName -Type SRV _kerberos-adm._tcp.<dominio>
Reemplaza <dominio> con el nombre de tu dominio. Este comando realizará una consulta DNS para encontrar el registro SRV asociado al servidor administrativo de Kerberos (_kerberos-adm._tcp) y te devolverá la dirección del servidor.
Recuerda que para ejecutar este comando necesitarás permisos adecuados y acceso a la infraestructura de DNS en tu entorno de Active Directory.
