Wie sieht denn der Befehl samba-tool spn list 'FIREWALL$'
aus?
Hier stünde bei mir (frische 7.2 Installation):
firewall$
User CN=FIREWALL,OU=server,OU=Devices,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan has the following servicePrincipalName:
RestrictedKrbHost/FIREWALL
RestrictedKrbHost/FIREWALL.linuxmuster.lan
host/firewall.linuxmuster.lan
host/firewall
Möglicherweise ist dort bereits der Eintrag „HTTP/firewall“ falsch hinterlegt worden?
Ich bin mir zwar nicht ganz sicher, aber der Eintrag sollte dann wie folgt gelöscht werden können:
samba-tool spn delete HTTP/firewall 'FIREWALL$'
Der Kerberos Login Name in der OPNsense Firewall unter SSO sollte dann auch wie folgt „FIREWALL-K“ heißen.
Möglicherweise gibt es mit den doppelten Einträgen irgendwelche Identifikationsprobleme.
ACHTUNG:
Bitte nicht host/firewall
mit HTTP/firewall
verwechseln.
EDIT:
Ich revidiere, die „Fehlermeldung“ erscheint bei mir auch. Der SPN Name wird aber dennoch zu „Firewall-K$“ hinzugefügt.
Aber wie von mir zuvor beschrieben, sehe ich gerade selbst, dass dort host/firewall
für „FIREWALL$“ steht. Was das genau bewirkt weiß ich nicht.
Möglicherweise betrifft das aber auch den Fehler bei der Generation der Schlüsseltabelle?:
Error: another computer account (CN=FIREWALL,OU=server,OU=Devices,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan) has the principal host/firewall
Aber der nächste Schritt „Schlüsseltabelle“(de)/„Keytab“(en) wurde ebenfalls durchgeführt?
Was sagt denn Schritt 3? Wird dort von der Firewall das Konto mit einem „OK token“ bestätigt?
PS:
Der global-admin kann in der OPNsense geprüft werden, sollte aber nicht im Betriebssystem genutzt werden.