https://www.opennet.ru/openforum/vsluhforumID1/90190.html Добрый день гуру. Странная проблема, настроил на машинке MIT kerberos, nss_ldap<br>Тикеты выдаются. pam_ldap и pam_winbind работают. <br>А pam-krb5 работает до момента ввода станции в АД.<br>Самба у меня хранит машинные ключи в системном кейтабе /etc/krb5.keytab, т.к. собираюсь их использовать.<br>стоит удалить запись:<br>host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC<br>и вуаля pam-krb5 снова работает,с чем косяк в какую сторону смотреть?<br> https://www.opennet.ru/openforum/vsluhforumID1/90190.html#19 Thu, 30 Jun 2011 12:07:13 GMT &gt;&gt; вы не разобрались еще отчего такое поведение ?<br>&gt; Сервер был поставлен под виндой. Т.к. сам я не смог разобраться, а <br>&gt; умные люди не подсказали.<br><br>я разобрался ;)<br><br>Если удалить все в кейтабе командой <br><br>net ads keytab flush<br><br>то pam_krb5 работает<br><br>но пишет End of key table reached<br><br>Хотя билет пользователь получает в нужном месте (в кэше /tmp/krb5cc_&lt;USERNAME&gt;)<br><br><br>отсюда два варианта:<br><br>1. Или оставляем keytab пустым, т.е. дропаем все ключи командой описанной выше - что не есть гуд<br><br>2. Или дописываем pam_krb5 параметр keytab=FILE:\etc\krb5.keytab в /etc/pam.d/common-auth<br><br><br>Тогда все отрабатывает без проблем.<br><br>Скоро выложу статью на нашем опеннете по поводу своих изысканий. Будет интересно!<br> https://www.opennet.ru/openforum/vsluhforumID1/90190.html#18 Thu, 30 Jun 2011 10:17:27 GMT &gt; вы не разобрались еще отчего такое поведение ?<br><br>Сервер был поставлен под виндой. Т.к. сам я не смог разобраться, а умные люди не подсказали.<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/90190.html#17 Thu, 30 Jun 2011 10:02:30 GMT &gt;[оверквотинг удален]<br>&gt;&gt; 4. Сгенерить в локальном keytab запись для этого принципала используя ПАРОЛЬ <br>&gt;&gt; Всё <br>&gt;&gt; Я всё таки использую security = domain и мне хватает (NT domain <br>&gt;&gt; member) (В Slackware нет kerberos).<br>&gt; Удалил учетку компа. создал <br>&gt; ktpass -princ host/kv-kv-linux.corp.ukrtelecom.loc@CORP.UKRTELECOM.LOC -mapuser <br>&gt; kv-kv-linux-host -pass 11111111 -out c:\linuxhost.keytab <br>&gt; Перекинул его на линукс-хост, стоит его внести в krb5.keytab и все pam_krb5 <br>&gt; отказывается работать, хотя я проверил kinit -k host/kv-kv-linux.corp.ukrtelecom.loc@CORP.UKRTELECOM.LOC <br>&gt; работает.<br><br>полностью согласен! сейчас тоже столкнулся с такой проблемой<br><br>стоит сделать net ads keytab create и pam_krb5 отказывается работать<br><br>стоит сделать net ads keytab flush и он работает<br><br>еще заметил, что pam_krb5 работает, когда разблокируешь gnome-screensaver даже при созданном кейтабе в /etc/krb5.keytab<br><br>;)<br><br>во чудеса. <br><br>вы не разобрались еще отчего такое поведение ?<br> https://www.opennet.ru/openforum/vsluhforumID1/90190.html#16 Mon, 15 Nov 2010 10:40:04 GMT &gt; Удалил учетку компа. создал<br>&gt; ktpass -princ host/kv-kv-linux.corp.ukrtelecom.loc@CORP.UKRTELECOM.LOC -mapuser<br>&gt; kv-kv-linux-host -pass 11111111 -out c:\linuxhost.keytab<br><br>Нужно сделать пользователя конкретно с таким именем host/kv-kv-linux.corp.ukrtelecom.loc@CORP.UKRTELECOM.LOC и паролем через стандартную оснастку. ktpass почти ничего в Active Directory не делает, лишь генерит ключ по паролю и mapuser.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/90190.html#15 Mon, 15 Nov 2010 09:06:49 GMT &gt; если не получается на автомате, я ещё раз предлагаю:<br>&gt; 1. Удалить учётку компа.<br>&gt; 2. net join<br>&gt; 3. ДОПОЛНИТЕЛЬНО создать ПОЛЬЗОВАТЕЛЯ host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC<br>&gt; с ПАРОЛЕМ<br>&gt; 4. Сгенерить в локальном keytab запись для этого принципала используя ПАРОЛЬ<br>&gt; Всё<br>&gt; Я всё таки использую security = domain и мне хватает (NT domain<br>&gt; member) (В Slackware нет kerberos).<br><br>Удалил учетку компа. создал <br>ktpass -princ host/kv-kv-linux.corp.ukrtelecom.loc@CORP.UKRTELECOM.LOC -mapuser kv-kv-linux-host -pass 11111111 -out c:\linuxhost.keytab<br><br>Перекинул его на линукс-хост, стоит его внести в krb5.keytab и все pam_krb5 отказывается работать, хотя я проверил kinit -k host/kv-kv-linux.corp.ukrtelecom.loc@CORP.UKRTELECOM.LOC<br>работает.<br> https://www.opennet.ru/openforum/vsluhforumID1/90190.html#14 Fri, 12 Nov 2010 09:16:16 GMT если не получается на автомате, я ещё раз предлагаю:<br>1. Удалить учётку компа.<br>2. net join<br>3. ДОПОЛНИТЕЛЬНО создать ПОЛЬЗОВАТЕЛЯ host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC с ПАРОЛЕМ<br>4. Сгенерить в локальном keytab запись для этого принципала используя ПАРОЛЬ<br>Всё<br><br><br>Я всё таки использую security = domain и мне хватает (NT domain member) (В Slackware нет kerberos).<br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/90190.html#13 Fri, 12 Nov 2010 08:54:45 GMT &gt; Нужно создать учётку host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC.<br>&gt; ПАРОЛЬ от неё использовать для генерации записи в keytab.<br><br>учетку host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC<br>создает Самба.<br>Я дописывал в учетку компа вручную ADSI едитом userPrincipal host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC<br><br>После етого у меня даже проходило:<br>kinit -k host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC<br><br>но pam_krb5 по прежнему тверит свой север нот фаунд.<br> https://www.opennet.ru/openforum/vsluhforumID1/90190.html#12 Fri, 12 Nov 2010 08:22:30 GMT Нужно создать учётку host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC.<br>ПАРОЛЬ от неё использовать для генерации записи в keytab.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/90190.html#11 Fri, 05 Nov 2010 08:35:31 GMT &gt; Нету у меня никакого нагромождения меня интересует pam_krb5, остальные я ставил с<br>&gt; целю проверки после того как pam_krb5 не заработал. И pam_ldap и<br>&gt; pam_winbind работают по отдельности, никто их вместе и не собирался заставлять<br>&gt; работать.<br><br>Понял<br>&gt; pam_winbind не сохраняет керберос тикеты юзера при заходе, а мне ето необходимо.<br><br>Может и так, хотя не понятно, почему. Во всяком случае, супербилет он обязан сохранить, иначе невозможно будеть получить доступ от имени юзера ни к каким керберизованным рессурсам (разве что повторно дать kinit).<br><br>pam_krb5 в свою очередь, позволяет получить только супербилет.<br>При входе в систему отдельно придется получить:<br>1. uid, gid и прочие юниксовые вещи, например через nss_ldap.<br>2. билет для host/fqnd_машины@REALM, если предполагается вход в домен.<br>