Re: Expertise Kerberos

Page principale

Répondre à ce message
Auteur: Christian Bayle
Date:  
À: guilde
Sujet: Re: Expertise Kerberos
Salut,

net ads keytab add cifs -s join_ad.conf -U 'Admin%Passwd'
te donnera les clés pour cifs

je m'en sers pour obtenir des clés pour mon serveur apache par exemple.
C'est bien plus simple que la méthode manuel avec création d'un compte.

Ce qui se passe c'est que tu peux avoir ton serveur déclaré plusieurs fois,
soit à des endroits différents, soit sur des serveurs répliqués différents.
En désespoir de cause tu peux essayer de changer le nom du serveur

Christian

Le 15/03/2012 15:07, ymartin59@??? a écrit :
> Merci Christian,
>
> L'ennui c'est qu'il ne s'agit pas de Samba bien que le SPN "cifs/"
> pourrait le laisser croire.
>
> C'est une configuration d'authentification Kerberos pour le CIFS
> écrit en Java dans Alfresco.
> Cela fait plusieurs années que cette configuration/documentation
> est bien rodée.
>
> Ne pas comprendre n'est pas ce qui me gène le plus.
> C'est surtout l'absence de moyen de diagnostique sur le problème.
>
> J'ai bien fait un strace du "kinit -k -t prod.keytab cifs/..."
> mais je ne vois que la lecture du fichier keytab et tout de suite
> derrière l'émission du message d'erreur en stderr.
>
> La moindre de piste peut m'être précieuse.
>
> Merci pour votre aide
> Yves
>
> ----- Mail original -----
>> De: gnulists@???
>> À: ymartin59@???
>> Cc: "guilde Guilde"<guilde@???>
>> Envoyé: Jeudi 15 Mars 2012 14:39:11
>> Objet: Re: Expertise Kerberos
>>
>> Salut,
>>
>> pour générer les keytab, moi je fais depuis linux
>> avec "net ads keytab create", ça évite bien des fausses manip
>> Il te faut un compte admin pour cela
>> mais méfiance il y a des fois des comptes qui trainent,
>> des effets de réplication quand il y a plusieurs serveurs.
>>
>> Christian
>>
>>
>> ----- Mail original -----
>> De: ymartin59@???
>> À: "guilde Guilde"<guilde@???>
>> Envoyé: Jeudi 15 Mars 2012 13:59:00
>> Objet: Expertise Kerberos
>>
>>    Bonjour,

>>
>> J'ai configuré deux systèmes Linux avec chacun son keytab Kerberos
>> avec un ActiveDirectory Windows 2008R2.
>> Ces systèmes fonctionnent comme prévu.
>>
>> Mais pour la production (évidemment) le fichier "keytab" généré sur
>> ActiveDirectory est inexploitable:
>>
>> kinit -k -t prod.keytab cifs/ged.intranet.chez.moi
>>
>> kinit(v5): Key table entry not found while getting initial
>> credentials
>>
>> Pourtant la clef est bien là, avec le bon kvno, lorsqu'on ouvre le
>> keytab avec "ktutil".
>>
>> L'authentification par mot de passe "kinit
>> cifs/ged.intranet.chez.moi" fonctionne.
>> Tous les autres SPN associés au compte sont disponibles par exemple
>> avec "kvno cifs/ged"
>> et c'est bien la bonne version.
>>
>> Ayant mis en cause l'ActiveDirectory, on a fait 4 essais de
>> génération - dont la dernière après avoir
>> détruit le compte de l'AD ! L'admin en a "marre", et je suis
>> maintenant convaincu qu'il y a plus de
>> chance que le problème vienne du Kerberos sous Linux.
>>
>> Ma seule piste: c'est du RedHat 5.8 avec le MIT Kerberos 1.6.1 qui
>> n'est plus tout jeune (2007 !)
>>
>> Est-ce que c'est ça le problème ? Si oui quelle version me
>> recommandez vous (1.8.x, 1.9.x, 1.10.x) ?
>>
>> Merci d'avance pour vos lumière