Подскажите, как настроить кластер 1с на линуксе, при том, чтобы

работала доменная авторизация через керберос ? Если выпускать keytab для первого сервера кластера, то все работает, не понятно что делать со вторым

Выпускать keytab лучшэ всего. Чего их экономить.

так получается машины в кластере будут под разными пользователями работать?

Почему? Необязательно. Для одного principal — вроде да, можэт быть только один keytab в один момент (но тут тожэ не помню), но -princ можно сколько угодно наделать одному пользователю. Там как раз в середине правильно бы указывать hostname, на котором это будет выполняться/использоваться.

так я выпускаю кейтаб в формател user/host@DOMEN, он же мне перепишет при ледующем выпуске\

точнее в таком формате ktpass -princ usr1cv8/host.domen@DOMEN -mapuser usr1cv8 -pass XXXXXXX -out usr1cv8.keytab

У вас у разных машын в кластере один хост? Зачем?

у меня в кластере разные хосты

Ну вот, и принцыпалы потому разные.

ну а как мне быть? я для одной могу выпустить, -princ usr1cv8/host1.domen@DOMEN, второй кейтаб будет -princ usr1cv8/host2.domen@DOMEN, который затрёт мне первый

Вообще, учитывая что у вас юзер не postgres (всё равно переписывать везде) — вы можэте и юзер-парт принцыпала переписывать, ну будет на разных машынах разный. Только непонятно мне, в чём проблема. Хосты разные, принцыпалы разные.

Почему затрет? Ничего не затрёт. Ну, не должэн.

да как? у меня в АД новый пользователь будет, при выполнение команды ktpass -princ usr1cv8/host.domen@DOMEN -mapuser usr1cv8 -pass XXXXXXX -out usr1cv8.keytab к имени пользователя добавляется "/host.domen@DOMEN" , соответственно для второго она будет другая

В AD имя пользователя как было usr1cv8 (из -mapuser) — так и останется, кто туда чего добавит?

Можэт, /setupn=false в ktpass?

а как полностью выглядить будет? ktpass -princ usr1cv8//setupn=false@DOMEN -mapuser usr1cv8 -pass XXXXXXX -out usr1cv8.keytab так?

ни одного мануала с /setupn=false не находу в интернете просто :)

ktpass -princ usr1cv8/host1.domen@DOMEN -mapuser usr1cv8 -pass XXXXXXX -out usr1cv8.keytab -setupn false как-то так скорее. (На самом деле, я вообще не помню, как это делается — поскольку лет почти 20 назад последний раз делал это с виндовым ktpass).

для двух хостов сразу?

увы, не работает, но понятнее чуть стало в какую сторону капать, спасибо

огонь, заработало, спасибо большое