The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"pam_krb5 и самба"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Samba, выделена в отдельный форум / Linux)
Изначальное сообщение [ Отслеживать ]

"pam_krb5 и самба"  +/
Сообщение от Thebas on 02-Ноя-10, 12:08 
Добрый  день гуру. Странная проблема, настроил на машинке MIT kerberos, nss_ldap
Тикеты выдаются. pam_ldap и pam_winbind работают.
А pam-krb5 работает до момента ввода станции в АД.
Самба у меня хранит машинные ключи в системном кейтабе /etc/krb5.keytab, т.к. собираюсь их использовать.
стоит удалить запись:
host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC
и вуаля pam-krb5 снова работает,с чем косяк в какую сторону смотреть?
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "pam_krb5 и самба"  +/
Сообщение от tux2002 email(ok) on 03-Ноя-10, 20:30 
> Добрый  день гуру. Странная проблема, настроил на машинке MIT kerberos, nss_ldap
> Тикеты выдаются. pam_ldap и pam_winbind работают.
> А pam-krb5 работает до момента ввода станции в АД.
> Самба у меня хранит машинные ключи в системном кейтабе /etc/krb5.keytab, т.к. собираюсь
> их использовать.
> стоит удалить запись:
> host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC
> и вуаля pam-krb5 снова работает,с чем косяк в какую сторону смотреть?

Такая секурность обоснована? Есть возможность security = domain.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "pam_krb5 и самба"  +/
Сообщение от Thebas on 04-Ноя-10, 09:57 
>> Добрый  день гуру. Странная проблема, настроил на машинке MIT kerberos, nss_ldap
>> Тикеты выдаются. pam_ldap и pam_winbind работают.
>> А pam-krb5 работает до момента ввода станции в АД.
>> Самба у меня хранит машинные ключи в системном кейтабе /etc/krb5.keytab, т.к. собираюсь
>> их использовать.
>> стоит удалить запись:
>> host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC
>> и вуаля pam-krb5 снова работает,с чем косяк в какую сторону смотреть?
> Такая секурность обоснована? Есть возможность security = domain.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "pam_krb5 и самба"  +/
Сообщение от Thebas on 04-Ноя-10, 09:59 
C секурностью все хорошо ads
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "pam_krb5 и самба"  +/
Сообщение от tux2002 email(ok) on 04-Ноя-10, 13:40 
> C секурностью все хорошо ads

Тогда локальный keytab наверное не нужно, samba хранит свой secret в собственном формате.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "pam_krb5 и самба"  +/
Сообщение от tux2002 email(ok) on 04-Ноя-10, 15:05 
И да, если вы генерите ключи принципалов Эктив Директори утилитой из пакета MIT Kerberos, то эта утилита может работать с ошибками (генерит неправильный ключ).


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "pam_krb5 и самба"  +/
Сообщение от Thebas on 04-Ноя-10, 15:13 
> И да, если вы генерите ключи принципалов Эктив Директори утилитой из пакета
> MIT Kerberos, то эта утилита может работать с ошибками (генерит неправильный
> ключ).

Ключи генерятся при net ads join
т.к. в smb.conf присутмтвует запись
use kerberos keytab = True

Ключи записуются в системный кейтаб /etc/krb5.keytab
Они мне нужны т.к. я их собираюсь использовать, хотябы для sasl в ldap.conf

Про утилитку не вкурсе никогда ей не пользовался.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "pam_krb5 и самба"  +/
Сообщение от tux2002 email(ok) on 04-Ноя-10, 15:43 

> Ключи генерятся при net ads join
> т.к. в smb.conf присутмтвует запись
> use kerberos keytab = True

Ну вот этот параметр для работоспособности необязателен, нюансов я не знаю.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "pam_krb5 и самба"  +/
Сообщение от tux2002 email(ok) on 04-Ноя-10, 15:44 
> Ключи генерятся при net ads join
> т.к. в smb.conf присутмтвует запись
> use kerberos keytab = True

Ну вот этот параметр для работоспособности необязателен, нюансов я не знаю.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "pam_krb5 и самба"  +/
Сообщение от начинающий on 04-Ноя-10, 17:05 
> Тикеты выдаются. pam_ldap и pam_winbind работают.
> А pam-krb5 работает до момента ввода станции в АД.

Какое-то награмождение.
У вас разные юзеры должны по разному проходить аутентификацию (kerberos vs. ldap vs. winbind), или pam настроена на сверхсекурити, обязывая проходить все три?

Вообще, если машина должна быть в домене AD, то для вас pam_winbind.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "pam_krb5 и самба"  +/
Сообщение от Thebas on 04-Ноя-10, 17:12 
>> Тикеты выдаются. pam_ldap и pam_winbind работают.
>> А pam-krb5 работает до момента ввода станции в АД.
> Какое-то награмождение.
> У вас разные юзеры должны по разному проходить аутентификацию (kerberos vs. ldap
> vs. winbind), или pam настроена на сверхсекурити, обязывая проходить все три?

Нету у меня никакого нагромождения меня интересует pam_krb5, остальные я ставил с целю проверки после того как pam_krb5 не заработал. И pam_ldap и pam_winbind работают по отдельности, никто их вместе и не собирался заставлять работать.

> Вообще, если машина должна быть в домене AD, то для вас pam_winbind.

pam_winbind не сохраняет керберос тикеты юзера при заходе, а мне ето необходимо.


Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "pam_krb5 и самба"  +/
Сообщение от начинающий on 05-Ноя-10, 11:35 
> Нету у меня никакого нагромождения меня интересует pam_krb5, остальные я ставил с
> целю проверки после того как pam_krb5 не заработал. И pam_ldap и
> pam_winbind работают по отдельности, никто их вместе и не собирался заставлять
> работать.

Понял
> pam_winbind не сохраняет керберос тикеты юзера при заходе, а мне ето необходимо.

Может и так, хотя не понятно, почему. Во всяком случае, супербилет он обязан сохранить, иначе невозможно будеть получить доступ от имени юзера ни к каким керберизованным рессурсам (разве что повторно дать kinit).

pam_krb5 в свою очередь, позволяет получить только супербилет.
При входе в систему отдельно придется получить:
1. uid, gid и прочие юниксовые вещи, например через nss_ldap.
2. билет для host/fqnd_машины@REALM, если предполагается вход в домен.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "pam_krb5 и самба"  +/
Сообщение от tux2002 email(ok) on 12-Ноя-10, 11:22 
Нужно создать учётку host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC.
ПАРОЛЬ от неё использовать для генерации записи в keytab.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "pam_krb5 и самба"  +/
Сообщение от Thebas on 12-Ноя-10, 11:54 
> Нужно создать учётку host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC.
> ПАРОЛЬ от неё использовать для генерации записи в keytab.

учетку host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC
создает Самба.
Я дописывал в учетку компа вручную ADSI едитом userPrincipal host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC

После етого у меня даже проходило:
kinit -k host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC

но pam_krb5 по прежнему тверит свой север нот фаунд.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "pam_krb5 и самба"  +/
Сообщение от tux2002 email(ok) on 12-Ноя-10, 12:16 
если не получается на автомате, я ещё раз предлагаю:
1. Удалить учётку компа.
2. net join
3. ДОПОЛНИТЕЛЬНО создать ПОЛЬЗОВАТЕЛЯ host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC с ПАРОЛЕМ
4. Сгенерить в локальном keytab запись для этого принципала используя ПАРОЛЬ
Всё


Я всё таки использую security = domain и мне хватает (NT domain member) (В Slackware нет kerberos).


Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "pam_krb5 и самба"  +/
Сообщение от Thebas on 15-Ноя-10, 12:06 
> если не получается на автомате, я ещё раз предлагаю:
> 1. Удалить учётку компа.
> 2. net join
> 3. ДОПОЛНИТЕЛЬНО создать ПОЛЬЗОВАТЕЛЯ host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC
> с ПАРОЛЕМ
> 4. Сгенерить в локальном keytab запись для этого принципала используя ПАРОЛЬ
> Всё
> Я всё таки использую security = domain и мне хватает (NT domain
> member) (В Slackware нет kerberos).

Удалил учетку компа. создал
ktpass -princ host/kv-kv-linux.corp.ukrtelecom.loc@CORP.UKRTELECOM.LOC -mapuser kv-kv-linux-host -pass 11111111 -out c:\linuxhost.keytab

Перекинул его на линукс-хост, стоит его внести в krb5.keytab и все pam_krb5 отказывается работать, хотя я проверил kinit -k host/kv-kv-linux.corp.ukrtelecom.loc@CORP.UKRTELECOM.LOC
работает.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "pam_krb5 и самба"  +/
Сообщение от tux2002 email(ok) on 15-Ноя-10, 13:40 
> Удалил учетку компа. создал
> ktpass -princ host/kv-kv-linux.corp.ukrtelecom.loc@CORP.UKRTELECOM.LOC -mapuser
> kv-kv-linux-host -pass 11111111 -out c:\linuxhost.keytab

Нужно сделать пользователя конкретно с таким именем  host/kv-kv-linux.corp.ukrtelecom.loc@CORP.UKRTELECOM.LOC и паролем через стандартную оснастку. ktpass почти ничего в Active Directory не делает, лишь генерит ключ по паролю и mapuser.


Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "pam_krb5 и самба"  +/
Сообщение от netc email(??) on 30-Июн-11, 14:02 
>[оверквотинг удален]
>> 4. Сгенерить в локальном keytab запись для этого принципала используя ПАРОЛЬ
>> Всё
>> Я всё таки использую security = domain и мне хватает (NT domain
>> member) (В Slackware нет kerberos).
> Удалил учетку компа. создал
> ktpass -princ host/kv-kv-linux.corp.ukrtelecom.loc@CORP.UKRTELECOM.LOC -mapuser
> kv-kv-linux-host -pass 11111111 -out c:\linuxhost.keytab
> Перекинул его на линукс-хост, стоит его внести в krb5.keytab и все pam_krb5
> отказывается работать, хотя я проверил kinit -k host/kv-kv-linux.corp.ukrtelecom.loc@CORP.UKRTELECOM.LOC
> работает.

полностью согласен! сейчас тоже столкнулся с такой проблемой

стоит сделать net ads keytab create и pam_krb5 отказывается работать

стоит сделать net ads keytab flush и он работает

еще заметил, что pam_krb5 работает, когда разблокируешь gnome-screensaver даже при созданном кейтабе в /etc/krb5.keytab

;)

во чудеса.

вы не разобрались еще отчего такое поведение ?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "pam_krb5 и самба"  +/
Сообщение от thebas (ok) on 30-Июн-11, 14:17 
> вы не разобрались еще отчего такое поведение ?

Сервер был поставлен под виндой. Т.к. сам я не смог разобраться, а умные люди не подсказали.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "pam_krb5 и самба"  +/
Сообщение от netc email(ok) on 30-Июн-11, 16:07 
>> вы не разобрались еще отчего такое поведение ?
> Сервер был поставлен под виндой. Т.к. сам я не смог разобраться, а
> умные люди не подсказали.

я разобрался ;)

Если удалить все в кейтабе командой

net ads keytab flush

то pam_krb5 работает

но пишет End of key table reached

Хотя билет пользователь получает в нужном месте (в кэше /tmp/krb5cc_<USERNAME>)


отсюда два варианта:

1. Или оставляем keytab пустым, т.е. дропаем все ключи командой описанной выше - что не есть гуд

2. Или дописываем pam_krb5 параметр keytab=FILE:\etc\krb5.keytab в /etc/pam.d/common-auth


Тогда все отрабатывает без проблем.

Скоро выложу статью на нашем опеннете по поводу своих изысканий. Будет интересно!

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру