Re: Expertise Kerberos

Top Page

Reply to this message
Author: gnulists
Date:  
To: ymartin59
CC: guilde Guilde
Subject: Re: Expertise Kerberos
Salut,

pour générer les keytab, moi je fais depuis linux
avec "net ads keytab create", ça évite bien des fausses manip
Il te faut un compte admin pour cela
mais méfiance il y a des fois des comptes qui trainent,
des effets de réplication quand il y a plusieurs serveurs.

Christian


----- Mail original -----
De: ymartin59@???
À: "guilde Guilde" <guilde@???>
Envoyé: Jeudi 15 Mars 2012 13:59:00
Objet: Expertise Kerberos

Bonjour,

J'ai configuré deux systèmes Linux avec chacun son keytab Kerberos avec un ActiveDirectory Windows 2008R2.
Ces systèmes fonctionnent comme prévu.

Mais pour la production (évidemment) le fichier "keytab" généré sur ActiveDirectory est inexploitable:

kinit -k -t prod.keytab cifs/ged.intranet.chez.moi

kinit(v5): Key table entry not found while getting initial credentials

Pourtant la clef est bien là, avec le bon kvno, lorsqu'on ouvre le keytab avec "ktutil".

L'authentification par mot de passe "kinit cifs/ged.intranet.chez.moi" fonctionne.
Tous les autres SPN associés au compte sont disponibles par exemple avec "kvno cifs/ged"
et c'est bien la bonne version.

Ayant mis en cause l'ActiveDirectory, on a fait 4 essais de génération - dont la dernière après avoir
détruit le compte de l'AD ! L'admin en a "marre", et je suis maintenant convaincu qu'il y a plus de
chance que le problème vienne du Kerberos sous Linux.

Ma seule piste: c'est du RedHat 5.8 avec le MIT Kerberos 1.6.1 qui n'est plus tout jeune (2007 !)

Est-ce que c'est ça le problème ? Si oui quelle version me recommandez vous (1.8.x, 1.9.x, 1.10.x) ?

Merci d'avance pour vos lumière

--
Yves Martin