Re: Expertise Kerberos

Top Page

Reply to this message
Author: ymartin59
Date:  
To: gnulists
CC: guilde Guilde
Subject: Re: Expertise Kerberos
Merci Christian,

L'ennui c'est qu'il ne s'agit pas de Samba bien que le SPN "cifs/"
pourrait le laisser croire.

C'est une configuration d'authentification Kerberos pour le CIFS
écrit en Java dans Alfresco.
Cela fait plusieurs années que cette configuration/documentation
est bien rodée.

Ne pas comprendre n'est pas ce qui me gène le plus.
C'est surtout l'absence de moyen de diagnostique sur le problème.

J'ai bien fait un strace du "kinit -k -t prod.keytab cifs/..."
mais je ne vois que la lecture du fichier keytab et tout de suite
derrière l'émission du message d'erreur en stderr.

La moindre de piste peut m'être précieuse.

Merci pour votre aide
Yves

----- Mail original -----
> De: gnulists@???
> À: ymartin59@???
> Cc: "guilde Guilde" <guilde@???>
> Envoyé: Jeudi 15 Mars 2012 14:39:11
> Objet: Re: Expertise Kerberos
>
> Salut,
>
> pour générer les keytab, moi je fais depuis linux
> avec "net ads keytab create", ça évite bien des fausses manip
> Il te faut un compte admin pour cela
> mais méfiance il y a des fois des comptes qui trainent,
> des effets de réplication quand il y a plusieurs serveurs.
>
> Christian
>
>
> ----- Mail original -----
> De: ymartin59@???
> À: "guilde Guilde" <guilde@???>
> Envoyé: Jeudi 15 Mars 2012 13:59:00
> Objet: Expertise Kerberos
>
> Bonjour,
>
> J'ai configuré deux systèmes Linux avec chacun son keytab Kerberos
> avec un ActiveDirectory Windows 2008R2.
> Ces systèmes fonctionnent comme prévu.
>
> Mais pour la production (évidemment) le fichier "keytab" généré sur
> ActiveDirectory est inexploitable:
>
> kinit -k -t prod.keytab cifs/ged.intranet.chez.moi
>
> kinit(v5): Key table entry not found while getting initial
> credentials
>
> Pourtant la clef est bien là, avec le bon kvno, lorsqu'on ouvre le
> keytab avec "ktutil".
>
> L'authentification par mot de passe "kinit
> cifs/ged.intranet.chez.moi" fonctionne.
> Tous les autres SPN associés au compte sont disponibles par exemple
> avec "kvno cifs/ged"
> et c'est bien la bonne version.
>
> Ayant mis en cause l'ActiveDirectory, on a fait 4 essais de
> génération - dont la dernière après avoir
> détruit le compte de l'AD ! L'admin en a "marre", et je suis
> maintenant convaincu qu'il y a plus de
> chance que le problème vienne du Kerberos sous Linux.
>
> Ma seule piste: c'est du RedHat 5.8 avec le MIT Kerberos 1.6.1 qui
> n'est plus tout jeune (2007 !)
>
> Est-ce que c'est ça le problème ? Si oui quelle version me
> recommandez vous (1.8.x, 1.9.x, 1.10.x) ?
>
> Merci d'avance pour vos lumière