Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 07/05/2012, à 13:43

Mateuy

[Résolu] Dysfonctionnement Kerberos

Bonjour,

Je bataille depuis un mois sur l'installation d'une solution SSO full linux : ubuntu-server 11.10

J'ai un serveur maitre (srv-master) avec DHCP, DNS, NTP, Ldap qui fonctionne normalement, un serveur pour kerberos et un serveur d'applications (srv-apps) comprenant simplement Apache pour le moment.

TGT:

user@srv-apps:~$ klist
Ticket cache: FILE:/tmp/krb5cc_1002
Default principal: user@DOMAIN.COM

Valid starting     Expires            Service principal
05/07/12 13:47:28  05/08/12 13:47:28  krbtgt/DOMAIN.COM@DOMAIN.COM
        renew until 05/08/12 13:48:10

Tentative SSH de srv-apps sur srv-master:
- commande:

ssh -v srv-master

- résultat affiché

debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure.  Minor code may provide more information
Generic error (see e-text)

debug1: Authentications that can continue: gssapi-keyex,gssapi-with-mic,password
debug1: Authentications that can continue: gssapi-keyex,gssapi-with-mic,password
debug1: Authentications that can continue: gssapi-keyex,gssapi-with-mic,password
debug1: Authentications that can continue: gssapi-keyex,gssapi-with-mic,password
debug1: Next authentication method: password

- /var/log/auth.log

May  7 14:34:29 srv-master sshd[1411]: debug1: Unspecified GSS failure.  Minor code may provide more information\nCryptosystem internal error\n
May  7 14:34:29 srv-master sshd[1411]: debug1: Got no client credentials

TGS pour ssh, le ticket est tout de même présent car existant dans la base du KDC:

user@srv-apps:~$ klist
Ticket cache: FILE:/tmp/krb5cc_1002
Default principal: user@DOMAIN.COM

Valid starting     Expires            Service principal
05/07/12 13:47:28  05/08/12 13:47:28  krbtgt/DOMAIN.COM@DOMAIN.COM
        renew until 05/08/12 13:48:10
05/07/12 13:47:33  05/08/12 13:47:28  host/srv-master.domain.com@DOMAIN.COM
        renew until 05/08/12 13:48:10

Tentative LDAP sur srv-master en local:

root@srv-master:~# ldapsearch
SASL/GSSAPI authentication started
ldap_sasl_interactive_bind_s: Invalid credentials (49)
        additional info: SASL(-13): authentication failure: GSSAPI Failure: gss_accept_sec_context

Nouvelle erreur avec LDAP, une fois loggué avec un principal valide et lancement de la commande "ldapsearch" en local sur srv-master:

root@srv-master:~# ldapsearch
SASL/GSSAPI authentication started
ldap_sasl_interactive_bind_s: Other (e.g., implementation specific) error (80)
        additional info: SASL(-1): generic failure: GSSAPI Error:  No credentials were supplied, or the credentials were unavailable or inaccessible. (unknown mech-code 0 for mech unknown)

Si quelqu'un aurait ne serait-ce qu'une piste de recherche.

Merci,

Dernière modification par Mateuy (Le 18/01/2013, à 15:23)

Hors ligne

#2 Le 07/05/2012, à 23:05

Mateuy

Re : [Résolu] Dysfonctionnement Kerberos

Le problème serait orienté du côté du cryptage car je retrouve l'erreur "Cryptosystem internal error" lors de l'exécution de la commande "testsaslauthd":

kinit -p user
root@srv-master:/usr/lib/sasl2# testsaslauthd -u user -p password -s ldap

Contenu du log /var/log/auth.log:

May  7 21:31:35 srv-master saslauthd[996]: auth_krb5: krb5_rd_req(): Cryptosystem internal error (-1765328206)
May  7 21:31:35 srv-master saslauthd[996]: auth_krb5: k5support_verify_tgt
May  7 21:31:35 srv-master saslauthd[996]: do_auth         : auth failure: [user=user] [service=ldap] [realm=] [mech=kerberos5] [reason=saslauthd internal error]

Dernière modification par Mateuy (Le 07/05/2012, à 23:05)

Hors ligne

#3 Le 03/08/2012, à 11:09

isador999

Re : [Résolu] Dysfonctionnement Kerberos

Salut,

Je sais pas si je peux t'aider vraiment, mais depuis quelques mois, j'essaye quelque chose de similaire :
une authentification kerberos avec samba, ssh ou apache.

Mon Kdc kerberos fonctionne, à l'ouverture de session utilisateur Xp, j'ai bien un ticket TGT délivré par samba, cependant, j'ai toujours "Authorization Required" dans mon site Apache.  Quand mon client Windows se connecte avec putty, le mot de passe est également demandé, donc le SSO ne fonctionne pas du tout..   

Dans /var/log/apache2/error.log, j'ai 

gss_accept_sec_context () : failed An unsupported mechanism was requested

Je me rappelle plus exactement de l'erreur Ssh, mais il ne parvenait pas à utiliser GSSAPI et donc il demande le mot de passe, un peu comme toi si je me trompe pas.

Si depuis, tu aurais plus d'infos..
Merci.

La seule solution pour que je puisse mettre ça en place reste la formation sur Kerberos, mais bon vu le prix !

Et on n'est pas les seuls à priori : http://forum.ubuntu-fr.org/viewtopic.php?id=295764

Dernière modification par isador999 (Le 03/08/2012, à 11:24)

Hors ligne

#4 Le 18/01/2013, à 15:15

Mateuy

Re : [Résolu] Dysfonctionnement Kerberos

Salut,

Je suis désolé pour le retard, j'ai pu me débrouillé pour mon SSO grâce à d'excellents tutoriels. Je voulais faire un retour avec des explications pour monter toute l'architecture mais je n'ai pas eu le temps et après je suis totalement passé à côté hmm.

Si tu es toujours dans l'embarras ou si d'autres personnes passent par ce topic, je vous propose vivement ce lien : http://www.rjsystems.nl/en/2100.php

Les serveurs sont configurés sous Debian mais c'est fonctionnel et très bien expliqué.

Cordialement,

Mateuy

Hors ligne

Pages : 1