форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Samba, выделена в отдельный форум / Linux)
Изначальное сообщение		[ Отслеживать ]

"pam_krb5 и самба"	+/–
Сообщение от Thebas on 02-Ноя-10, 12:08
Добрый  день гуру. Странная проблема, настроил на машинке MIT kerberos, nss_ldap Тикеты выдаются. pam_ldap и pam_winbind работают. А pam-krb5 работает до момента ввода станции в АД. Самба у меня хранит машинные ключи в системном кейтабе /etc/krb5.keytab, т.к. собираюсь их использовать. стоит удалить запись: host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC и вуаля pam-krb5 снова работает,с чем косяк в какую сторону смотреть?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "pam_krb5 и самба"	+/–
Сообщение от tux2002 (ok) on 03-Ноя-10, 20:30
> Добрый  день гуру. Странная проблема, настроил на машинке MIT kerberos, nss_ldap > Тикеты выдаются. pam_ldap и pam_winbind работают. > А pam-krb5 работает до момента ввода станции в АД. > Самба у меня хранит машинные ключи в системном кейтабе /etc/krb5.keytab, т.к. собираюсь > их использовать. > стоит удалить запись: > host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC > и вуаля pam-krb5 снова работает,с чем косяк в какую сторону смотреть? Такая секурность обоснована? Есть возможность security = domain.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "pam_krb5 и самба"	+/–
	Сообщение от Thebas on 04-Ноя-10, 09:57
	>> Добрый  день гуру. Странная проблема, настроил на машинке MIT kerberos, nss_ldap >> Тикеты выдаются. pam_ldap и pam_winbind работают. >> А pam-krb5 работает до момента ввода станции в АД. >> Самба у меня хранит машинные ключи в системном кейтабе /etc/krb5.keytab, т.к. собираюсь >> их использовать. >> стоит удалить запись: >> host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC >> и вуаля pam-krb5 снова работает,с чем косяк в какую сторону смотреть? > Такая секурность обоснована? Есть возможность security = domain.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "pam_krb5 и самба"	+/–
	Сообщение от Thebas on 04-Ноя-10, 09:59
	C секурностью все хорошо ads
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "pam_krb5 и самба"	+/–
	Сообщение от tux2002 (ok) on 04-Ноя-10, 13:40
	> C секурностью все хорошо ads Тогда локальный keytab наверное не нужно, samba хранит свой secret в собственном формате.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "pam_krb5 и самба"	+/–
	Сообщение от tux2002 (ok) on 04-Ноя-10, 15:05
	И да, если вы генерите ключи принципалов Эктив Директори утилитой из пакета MIT Kerberos, то эта утилита может работать с ошибками (генерит неправильный ключ).
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "pam_krb5 и самба"	+/–
	Сообщение от Thebas on 04-Ноя-10, 15:13
	> И да, если вы генерите ключи принципалов Эктив Директори утилитой из пакета > MIT Kerberos, то эта утилита может работать с ошибками (генерит неправильный > ключ). Ключи генерятся при net ads join т.к. в smb.conf присутмтвует запись use kerberos keytab = True Ключи записуются в системный кейтаб /etc/krb5.keytab Они мне нужны т.к. я их собираюсь использовать, хотябы для sasl в ldap.conf Про утилитку не вкурсе никогда ей не пользовался.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "pam_krb5 и самба"	+/–
	Сообщение от tux2002 (ok) on 04-Ноя-10, 15:43
	> Ключи генерятся при net ads join > т.к. в smb.conf присутмтвует запись > use kerberos keytab = True Ну вот этот параметр для работоспособности необязателен, нюансов я не знаю.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "pam_krb5 и самба"	+/–
	Сообщение от tux2002 (ok) on 04-Ноя-10, 15:44
	> Ключи генерятся при net ads join > т.к. в smb.conf присутмтвует запись > use kerberos keytab = True Ну вот этот параметр для работоспособности необязателен, нюансов я не знаю.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "pam_krb5 и самба"	+/–
Сообщение от начинающий on 04-Ноя-10, 17:05
> Тикеты выдаются. pam_ldap и pam_winbind работают. > А pam-krb5 работает до момента ввода станции в АД. Какое-то награмождение. У вас разные юзеры должны по разному проходить аутентификацию (kerberos vs. ldap vs. winbind), или pam настроена на сверхсекурити, обязывая проходить все три? Вообще, если машина должна быть в домене AD, то для вас pam_winbind.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	10. "pam_krb5 и самба"	+/–
	Сообщение от Thebas on 04-Ноя-10, 17:12
	>> Тикеты выдаются. pam_ldap и pam_winbind работают. >> А pam-krb5 работает до момента ввода станции в АД. > Какое-то награмождение. > У вас разные юзеры должны по разному проходить аутентификацию (kerberos vs. ldap > vs. winbind), или pam настроена на сверхсекурити, обязывая проходить все три? Нету у меня никакого нагромождения меня интересует pam_krb5, остальные я ставил с целю проверки после того как pam_krb5 не заработал. И pam_ldap и pam_winbind работают по отдельности, никто их вместе и не собирался заставлять работать. > Вообще, если машина должна быть в домене AD, то для вас pam_winbind. pam_winbind не сохраняет керберос тикеты юзера при заходе, а мне ето необходимо.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "pam_krb5 и самба"	+/–
	Сообщение от начинающий on 05-Ноя-10, 11:35
	> Нету у меня никакого нагромождения меня интересует pam_krb5, остальные я ставил с > целю проверки после того как pam_krb5 не заработал. И pam_ldap и > pam_winbind работают по отдельности, никто их вместе и не собирался заставлять > работать. Понял > pam_winbind не сохраняет керберос тикеты юзера при заходе, а мне ето необходимо. Может и так, хотя не понятно, почему. Во всяком случае, супербилет он обязан сохранить, иначе невозможно будеть получить доступ от имени юзера ни к каким керберизованным рессурсам (разве что повторно дать kinit). pam_krb5 в свою очередь, позволяет получить только супербилет. При входе в систему отдельно придется получить: 1. uid, gid и прочие юниксовые вещи, например через nss_ldap. 2. билет для host/fqnd_машины@REALM, если предполагается вход в домен.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "pam_krb5 и самба"	+/–
Сообщение от tux2002 (ok) on 12-Ноя-10, 11:22
Нужно создать учётку host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC. ПАРОЛЬ от неё использовать для генерации записи в keytab.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	13. "pam_krb5 и самба"	+/–
	Сообщение от Thebas on 12-Ноя-10, 11:54
	> Нужно создать учётку host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC. > ПАРОЛЬ от неё использовать для генерации записи в keytab. учетку host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC создает Самба. Я дописывал в учетку компа вручную ADSI едитом userPrincipal host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC После етого у меня даже проходило: kinit -k host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC но pam_krb5 по прежнему тверит свой север нот фаунд.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	14. "pam_krb5 и самба"	+/–
	Сообщение от tux2002 (ok) on 12-Ноя-10, 12:16
	если не получается на автомате, я ещё раз предлагаю: 1. Удалить учётку компа. 2. net join 3. ДОПОЛНИТЕЛЬНО создать ПОЛЬЗОВАТЕЛЯ host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC с ПАРОЛЕМ 4. Сгенерить в локальном keytab запись для этого принципала используя ПАРОЛЬ Всё Я всё таки использую security = domain и мне хватает (NT domain member) (В Slackware нет kerberos).
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	15. "pam_krb5 и самба"	+/–
	Сообщение от Thebas on 15-Ноя-10, 12:06
	> если не получается на автомате, я ещё раз предлагаю: > 1. Удалить учётку компа. > 2. net join > 3. ДОПОЛНИТЕЛЬНО создать ПОЛЬЗОВАТЕЛЯ host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC > с ПАРОЛЕМ > 4. Сгенерить в локальном keytab запись для этого принципала используя ПАРОЛЬ > Всё > Я всё таки использую security = domain и мне хватает (NT domain > member) (В Slackware нет kerberos). Удалил учетку компа. создал ktpass -princ host/kv-kv-linux.corp.ukrtelecom.loc@CORP.UKRTELECOM.LOC -mapuser kv-kv-linux-host -pass 11111111 -out c:\linuxhost.keytab Перекинул его на линукс-хост, стоит его внести в krb5.keytab и все pam_krb5 отказывается работать, хотя я проверил kinit -k host/kv-kv-linux.corp.ukrtelecom.loc@CORP.UKRTELECOM.LOC работает.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	16. "pam_krb5 и самба"	+/–
	Сообщение от tux2002 (ok) on 15-Ноя-10, 13:40
	> Удалил учетку компа. создал > ktpass -princ host/kv-kv-linux.corp.ukrtelecom.loc@CORP.UKRTELECOM.LOC -mapuser > kv-kv-linux-host -pass 11111111 -out c:\linuxhost.keytab Нужно сделать пользователя конкретно с таким именем  host/kv-kv-linux.corp.ukrtelecom.loc@CORP.UKRTELECOM.LOC и паролем через стандартную оснастку. ktpass почти ничего в Active Directory не делает, лишь генерит ключ по паролю и mapuser.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	17. "pam_krb5 и самба"	+/–
	Сообщение от netc (??) on 30-Июн-11, 14:02
	>[оверквотинг удален] >> 4. Сгенерить в локальном keytab запись для этого принципала используя ПАРОЛЬ >> Всё >> Я всё таки использую security = domain и мне хватает (NT domain >> member) (В Slackware нет kerberos). > Удалил учетку компа. создал > ktpass -princ host/kv-kv-linux.corp.ukrtelecom.loc@CORP.UKRTELECOM.LOC -mapuser > kv-kv-linux-host -pass 11111111 -out c:\linuxhost.keytab > Перекинул его на линукс-хост, стоит его внести в krb5.keytab и все pam_krb5 > отказывается работать, хотя я проверил kinit -k host/kv-kv-linux.corp.ukrtelecom.loc@CORP.UKRTELECOM.LOC > работает. полностью согласен! сейчас тоже столкнулся с такой проблемой стоит сделать net ads keytab create и pam_krb5 отказывается работать стоит сделать net ads keytab flush и он работает еще заметил, что pam_krb5 работает, когда разблокируешь gnome-screensaver даже при созданном кейтабе в /etc/krb5.keytab ;) во чудеса. вы не разобрались еще отчего такое поведение ?
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	18. "pam_krb5 и самба"	+/–
	Сообщение от thebas (ok) on 30-Июн-11, 14:17
	> вы не разобрались еще отчего такое поведение ? Сервер был поставлен под виндой. Т.к. сам я не смог разобраться, а умные люди не подсказали.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	19. "pam_krb5 и самба"	+/–
	Сообщение от netc (ok) on 30-Июн-11, 16:07
	>> вы не разобрались еще отчего такое поведение ? > Сервер был поставлен под виндой. Т.к. сам я не смог разобраться, а > умные люди не подсказали. я разобрался ;) Если удалить все в кейтабе командой net ads keytab flush то pam_krb5 работает но пишет End of key table reached Хотя билет пользователь получает в нужном месте (в кэше /tmp/krb5cc_<USERNAME>) отсюда два варианта: 1. Или оставляем keytab пустым, т.е. дропаем все ключи командой описанной выше - что не есть гуд 2. Или дописываем pam_krb5 параметр keytab=FILE:\etc\krb5.keytab в /etc/pam.d/common-auth Тогда все отрабатывает без проблем. Скоро выложу статью на нашем опеннете по поводу своих изысканий. Будет интересно!
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема