Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 09/06/2009, à 12:54

Miguel Enes

Kerberos, Ubuntu, Active Directory

Bonjour,
je suis étudiant et en ce moment je fais un stage à ma fac dont le but est de mettre en place une authentification via Kerberos. Le soucis (comme vous l'aurez deviné) c'est que ca ne marche pas ...

Voici ce que j'ai fait jusqu'a présent :

Au niveau du client :
* Modification du fichier /etc/krb5.conf (après installation des paquets : krb5-user, krb5-clients et libpam-krb5) :
[libdefaults]
    default_realm = CREMI.EMI.U-BORDEAUX1.FR

[realms]
    CREMI.EMI.U-BORDEAUX1.FR = {
        kdc = bacchus.CREMI.EMI.U-BORDEAUX1.FR
        kdc = dionysos.CREMI.EMI.U-BORDEAUX1.FR
        kdc = metaf.CREMI.EMI.U-BORDEAUX1.FR
        admin_server = bacchus.CREMI.EMI.U-BORDEAUX1.FR
        admin_server = dionysos.CREMI.EMI.U-BORDEAUX1.FR
        admin_server = metaf.CREMI.EMI.U-BORDEAUX1.FR
        default_domain = CREMI.EMI.U-BORDEAUX1.FR
    }

[domain_realm]
    .emi.u-bordeaux1.fr = CREMI.EMI.U-BORDEAUX1.FR
    .cremi.emi.u-bordeaux1.fr = CREMI.EMI.U-BORDEAUX1.FR
    emi.u-bordeaux1.fr = CREMI.EMI.U-BORDEAUX1.FR
    cremi.emi.u-bordeaux1.fr = CREMI.EMI.U-BORDEAUX1.FR

[login]
    forwardable = true
    krb5_run_aklog = true
    krb5_get_tickets = true
    krb4_convert = true
    krb4_get_tickets = false

[appdefaults]
pam = {
    ticket_lifetime = 1d
    renew_lifetime = 1d
    forwardable = true
    proxiable = false
    retain_after_close = true
    krb4_convert = false
}


* Modification des fichiers PAM sur le client:
# /etc/pam.d/common-account
account     sufficient      pam_krb5.so
account     sufficient    pam_ldap.so
account     required      pam_unix.so use_first_pass

# /etc/pam.d/common-auth
auth    sufficient    pam_krb5.so
auth    sufficient    pam_ldap.so
auth    requisite    pam_unix.so nullok_secure use_first_pass
#auth    optional    pam_smbpass.so migrate missingok

# /etc/pam.d/common-password
password   sufficient  pam_krb5.so
password   requisite   pam_unix.so nullok obscure md5

# /etc/pam.d/common-session
session    optional    pam_krb5.so
session    required    pam_unix.so

plus ajout de " auth   sufficient   pam_krb5.so"  au début des fichiers login et ssh (de /etc/pam.d).

* Modification du /etc/hosts pour avoir le nom pleinement qualifié (ip    nom.x.y.z   nom)

* Importation d'une keytab contenant le nom de la machine (host/machine.x.y.z@X.Y.Z)


Au niveau du KDC: (serveur sous Win server 2K3 R2)
*J'ai ajouté ma machine de test au niveau de Active Directory

*J'ai généré une clé avec la commande :
ktpass -princ host/machine.x.y.z@X.Y.Z -pass rndkey -mapuser machine -pType KRB5_NT_PRINCIPAL -out chemin_fichier.keytab

*par contre quand je fais un ksetup je n'ai que le default realm qui apparait et pas d'utilisateur mapper...donc je ne sais pas si je dois faire un :
ksetup /mapuser host/machine.x.y.z machine
ou aller dans la gestion des utilisateur sous active directory et les mappers a partir de là ??
(pour l'instant j'ai fais le ksetup /mapuser)


Maintenant ce que j'arrive à faire:
* à partir du client un kinit nom_user et le TGT est bien généré (apparait avec un klist).
* à la suite je peux faire un smbclient -U 'user' '\\netapp...' -k, est on me demande pas de mot de passe.
* par contre le ssh (sur la machine test elle-même) ne "marche pas", j'ai une erreur du style :
debug1: Unspecified GSS failure.  Minor code may provide more information
Server not found in Kerberos database
debug1: Unspecified GSS failure.  Minor code may provide more information
Server not found in Kerberos database

pareil quand je fais un ftp...


Voilà, si quelqu'un peut m'aiguiller parce que là je tourne en rond...

Merci d'avance...

#2 Le 15/06/2009, à 14:36

Miguel Enes

Re : Kerberos, Ubuntu, Active Directory

C'est bon j'ai réussi à me débloquer...

Le ktpass générait mal les clés, en faite j'ai utilisé les utilitaires net :
*Pour joindre le domaine : net ads join -U admin (ce qui était déjà fait)
*Pour les clés : net ads keytab create -U admin

Voilà...