Hello Mark,<br><br>thanx for your anwer.<br><br>Your first sentence maybe help me to understand why this is the client´s credential that it needs in the rule:<br><br>WS-YBCL150939\$\@<a href="http://EXAMPLE.COM">EXAMPLE.COM</a><br>
<br>So fist is the hostname then the slash makes the $-sign just to be a normal letter and not variable for example, and the @<a href="http://example.com">example.com</a> is the rest of how windows uses the sort of identity.<br>
machinename$@<a href="http://example.com/" target="_blank">EXAMPLE.COM</a><br><br>Is it normal that I have to put in the Windows identity in the named.conf and not the kerberus identity?<br><br>So WS-YBCL150939\$\@<a href="http://EXAMPLE.COM">EXAMPLE.COM</a> and NOT<br>
host/<a href="mailto:WS-YBCL150939@EXAMPLE.COM">WS-YBCL150939@EXAMPLE.COM</a>. <br><br>What is host .....? I just know the principal as Service-Principal and there its normally<br>for example: DNS/lxdns10t.prim-dns.test1.test@EXAMPLE.TEST<br>
<br>thanx a lot for all your help,<br>cheers,<br><br><div class="gmail_quote">2011/5/11 Mark Andrews <span dir="ltr"><<a href="mailto:marka@isc.org">marka@isc.org</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<br>
To match machines in the <a href="http://EXAMPLE.COM" target="_blank">EXAMPLE.COM</a> realm you would use one of these.<br>
<br>
Windows uses the following sort of identity for machines<br>
<br>
        machinename$@<a href="http://EXAMPLE.COM" target="_blank">EXAMPLE.COM</a><br>
<br>
        grant <a href="http://EXAMPLE.COM" target="_blank">EXAMPLE.COM</a> ms-self * any;<br>
        grant <a href="http://EXAMPLE.COM" target="_blank">EXAMPLE.COM</a> ms-subdomain * any;<br>
<br>
Kerberos uses the following identities for machines<br>
<br>
        host/<a href="mailto:machinename@EXAMPLE.COM">machinename@EXAMPLE.COM</a><br>
<br>
        grant <a href="http://EXAMPLE.COM" target="_blank">EXAMPLE.COM</a> krb5-self * any;<br>
        grant <a href="http://EXAMPLE.COM" target="_blank">EXAMPLE.COM</a> krb5-subdomain * any;<br>
<br>
{ms,krb5}-self allows updates of machinename<br>
{ms,krb5}-subdomain allows updates of *.machinename<br>
<br>
For ordinary users there isn't a mapping which turns user@REALM into<br>
user.realm<br>
<br>
        grant user@realm subdomain example.test any.<br>
<br>
Mark<br>
<font color="#888888">--<br>
Mark Andrews, ISC<br>
1 Seymour St., Dundas Valley, NSW 2117, Australia<br>
PHONE: +61 2 9871 4742                 INTERNET: <a href="mailto:marka@isc.org">marka@isc.org</a><br>
</font></blockquote></div><br>