Симптомы

У нас есть структура, содержащая поддомены. Каждый из поддоменов имеет свои контроллеры домены.
Необходимо добавить сервер авторизации для поддомена. Возникает вопрос формирования запроса на получение keytab.
В настройках Usergate мультидоменность не предусмотрена, поэтому это приводит к ошибке, поскольку данное имя уже используется для основного домена.

Решение

Для работы прозрачной аутентификации Kerberos в дочернем домене необходимо выполнить следующие настройки:

1. Создать LDAP-коннектор с keytab-файлом для родительского домена по инструкции из документации (в доменах LDAP прописан только родительский домен):
   https://support.usergate.com/ru/kb/version/6x/usergate-6/36-avtorizaciya-s-pomoshchyu-kerberos
2. Создать LDAP-коннектор без keytab-файла для дочернего домена (в Bind DN указать пользователя этого дочернего домена, в доменах LDAP прописан только дочерний домен)
3. Создать профиль авторизации с методом аутентификации Kerberos
4. Создать Captive-профиль, использующий созданный на прошлом шаге профиль аутентификации
5. Создать правило Captive-портала, использующее Captive-профиль, созданный на прошлом шаге.
6. keytab-файл создается только для родительского домена, то есть команда будет выглядеть следующим образом:
   ktpass.exe /princ HTTP/auth.test1.net@TEST1.NET /mapuser kerb@TEST1.NET /crypto ALL /ptype KRB5_NT_PRINCIPAL /pass * /out C:\distr\utm.keytab
7. Для VPN аутентификация Kerberos не работает. Для этой задачи необходимо для профиля аутентификации, указанного в правиле VPN, добавить все LDAP коннекторы.