URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 90190
[ Назад ]
Исходное сообщение
"pam_krb5 и самба"
Отправлено Thebas , 02-Ноя-10 12:08 
Добрый  день гуру. Странная проблема, настроил на машинке MIT kerberos, nss_ldap
Тикеты выдаются. pam_ldap и pam_winbind работают.
А pam-krb5 работает до момента ввода станции в АД.
Самба у меня хранит машинные ключи в системном кейтабе /etc/krb5.keytab, т.к. собираюсь их использовать.
стоит удалить запись:
host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC
и вуаля pam-krb5 снова работает,с чем косяк в какую сторону смотреть?
Содержание
Сообщения в этом обсуждении
"pam_krb5 и самба"
Отправлено tux2002 , 03-Ноя-10 20:30 
> Добрый  день гуру. Странная проблема, настроил на машинке MIT kerberos, nss_ldap
> Тикеты выдаются. pam_ldap и pam_winbind работают.
> А pam-krb5 работает до момента ввода станции в АД.
> Самба у меня хранит машинные ключи в системном кейтабе /etc/krb5.keytab, т.к. собираюсь
> их использовать.
> стоит удалить запись:
> host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC
> и вуаля pam-krb5 снова работает,с чем косяк в какую сторону смотреть?

Такая секурность обоснована? Есть возможность security = domain.

"pam_krb5 и самба"
Отправлено Thebas , 04-Ноя-10 09:57 
>> Добрый  день гуру. Странная проблема, настроил на машинке MIT kerberos, nss_ldap
>> Тикеты выдаются. pam_ldap и pam_winbind работают.
>> А pam-krb5 работает до момента ввода станции в АД.
>> Самба у меня хранит машинные ключи в системном кейтабе /etc/krb5.keytab, т.к. собираюсь
>> их использовать.
>> стоит удалить запись:
>> host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC
>> и вуаля pam-krb5 снова работает,с чем косяк в какую сторону смотреть?
> Такая секурность обоснована? Есть возможность security = domain.
"pam_krb5 и самба"
Отправлено Thebas , 04-Ноя-10 09:59 
C секурностью все хорошо ads
"pam_krb5 и самба"
Отправлено tux2002 , 04-Ноя-10 13:40 
> C секурностью все хорошо ads

Тогда локальный keytab наверное не нужно, samba хранит свой secret в собственном формате.

"pam_krb5 и самба"
Отправлено tux2002 , 04-Ноя-10 15:05 
И да, если вы генерите ключи принципалов Эктив Директори утилитой из пакета MIT Kerberos, то эта утилита может работать с ошибками (генерит неправильный ключ).


"pam_krb5 и самба"
Отправлено Thebas , 04-Ноя-10 15:13 
> И да, если вы генерите ключи принципалов Эктив Директори утилитой из пакета
> MIT Kerberos, то эта утилита может работать с ошибками (генерит неправильный
> ключ).

Ключи генерятся при net ads join
т.к. в smb.conf присутмтвует запись
use kerberos keytab = True

Ключи записуются в системный кейтаб /etc/krb5.keytab
Они мне нужны т.к. я их собираюсь использовать, хотябы для sasl в ldap.conf

Про утилитку не вкурсе никогда ей не пользовался.

"pam_krb5 и самба"
Отправлено tux2002 , 04-Ноя-10 15:43 

> Ключи генерятся при net ads join
> т.к. в smb.conf присутмтвует запись
> use kerberos keytab = True

Ну вот этот параметр для работоспособности необязателен, нюансов я не знаю.

"pam_krb5 и самба"
Отправлено tux2002 , 04-Ноя-10 15:44 
> Ключи генерятся при net ads join
> т.к. в smb.conf присутмтвует запись
> use kerberos keytab = True

Ну вот этот параметр для работоспособности необязателен, нюансов я не знаю.

"pam_krb5 и самба"
Отправлено начинающий , 04-Ноя-10 17:05 
> Тикеты выдаются. pam_ldap и pam_winbind работают.
> А pam-krb5 работает до момента ввода станции в АД.

Какое-то награмождение.
У вас разные юзеры должны по разному проходить аутентификацию (kerberos vs. ldap vs. winbind), или pam настроена на сверхсекурити, обязывая проходить все три?

Вообще, если машина должна быть в домене AD, то для вас pam_winbind.

"pam_krb5 и самба"
Отправлено Thebas , 04-Ноя-10 17:12 
>> Тикеты выдаются. pam_ldap и pam_winbind работают.
>> А pam-krb5 работает до момента ввода станции в АД.
> Какое-то награмождение.
> У вас разные юзеры должны по разному проходить аутентификацию (kerberos vs. ldap
> vs. winbind), или pam настроена на сверхсекурити, обязывая проходить все три?

Нету у меня никакого нагромождения меня интересует pam_krb5, остальные я ставил с целю проверки после того как pam_krb5 не заработал. И pam_ldap и pam_winbind работают по отдельности, никто их вместе и не собирался заставлять работать.

> Вообще, если машина должна быть в домене AD, то для вас pam_winbind.

pam_winbind не сохраняет керберос тикеты юзера при заходе, а мне ето необходимо.


"pam_krb5 и самба"
Отправлено начинающий , 05-Ноя-10 11:35 
> Нету у меня никакого нагромождения меня интересует pam_krb5, остальные я ставил с
> целю проверки после того как pam_krb5 не заработал. И pam_ldap и
> pam_winbind работают по отдельности, никто их вместе и не собирался заставлять
> работать.

Понял
> pam_winbind не сохраняет керберос тикеты юзера при заходе, а мне ето необходимо.

Может и так, хотя не понятно, почему. Во всяком случае, супербилет он обязан сохранить, иначе невозможно будеть получить доступ от имени юзера ни к каким керберизованным рессурсам (разве что повторно дать kinit).

pam_krb5 в свою очередь, позволяет получить только супербилет.
При входе в систему отдельно придется получить:
1. uid, gid и прочие юниксовые вещи, например через nss_ldap.
2. билет для host/fqnd_машины@REALM, если предполагается вход в домен.

"pam_krb5 и самба"
Отправлено tux2002 , 12-Ноя-10 11:22 
Нужно создать учётку host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC.
ПАРОЛЬ от неё использовать для генерации записи в keytab.

"pam_krb5 и самба"
Отправлено Thebas , 12-Ноя-10 11:54 
> Нужно создать учётку host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC.
> ПАРОЛЬ от неё использовать для генерации записи в keytab.

учетку host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC
создает Самба.
Я дописывал в учетку компа вручную ADSI едитом userPrincipal host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC

После етого у меня даже проходило:
kinit -k host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC

но pam_krb5 по прежнему тверит свой север нот фаунд.

"pam_krb5 и самба"
Отправлено tux2002 , 12-Ноя-10 12:16 
если не получается на автомате, я ещё раз предлагаю:
1. Удалить учётку компа.
2. net join
3. ДОПОЛНИТЕЛЬНО создать ПОЛЬЗОВАТЕЛЯ host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC с ПАРОЛЕМ
4. Сгенерить в локальном keytab запись для этого принципала используя ПАРОЛЬ
Всё


Я всё таки использую security = domain и мне хватает (NT domain member) (В Slackware нет kerberos).


"pam_krb5 и самба"
Отправлено Thebas , 15-Ноя-10 12:06 
> если не получается на автомате, я ещё раз предлагаю:
> 1. Удалить учётку компа.
> 2. net join
> 3. ДОПОЛНИТЕЛЬНО создать ПОЛЬЗОВАТЕЛЯ host/kv-kv-linux.corр.ukrtelecom.loc@CORP.UKRTELECOM.LOC
> с ПАРОЛЕМ
> 4. Сгенерить в локальном keytab запись для этого принципала используя ПАРОЛЬ
> Всё
> Я всё таки использую security = domain и мне хватает (NT domain
> member) (В Slackware нет kerberos).

Удалил учетку компа. создал
ktpass -princ host/kv-kv-linux.corp.ukrtelecom.loc@CORP.UKRTELECOM.LOC -mapuser kv-kv-linux-host -pass 11111111 -out c:\linuxhost.keytab

Перекинул его на линукс-хост, стоит его внести в krb5.keytab и все pam_krb5 отказывается работать, хотя я проверил kinit -k host/kv-kv-linux.corp.ukrtelecom.loc@CORP.UKRTELECOM.LOC
работает.

"pam_krb5 и самба"
Отправлено tux2002 , 15-Ноя-10 13:40 
> Удалил учетку компа. создал
> ktpass -princ host/kv-kv-linux.corp.ukrtelecom.loc@CORP.UKRTELECOM.LOC -mapuser
> kv-kv-linux-host -pass 11111111 -out c:\linuxhost.keytab

Нужно сделать пользователя конкретно с таким именем  host/kv-kv-linux.corp.ukrtelecom.loc@CORP.UKRTELECOM.LOC и паролем через стандартную оснастку. ktpass почти ничего в Active Directory не делает, лишь генерит ключ по паролю и mapuser.


"pam_krb5 и самба"
Отправлено netc , 30-Июн-11 14:02 
>[оверквотинг удален]
>> 4. Сгенерить в локальном keytab запись для этого принципала используя ПАРОЛЬ
>> Всё
>> Я всё таки использую security = domain и мне хватает (NT domain
>> member) (В Slackware нет kerberos).
> Удалил учетку компа. создал
> ktpass -princ host/kv-kv-linux.corp.ukrtelecom.loc@CORP.UKRTELECOM.LOC -mapuser
> kv-kv-linux-host -pass 11111111 -out c:\linuxhost.keytab
> Перекинул его на линукс-хост, стоит его внести в krb5.keytab и все pam_krb5
> отказывается работать, хотя я проверил kinit -k host/kv-kv-linux.corp.ukrtelecom.loc@CORP.UKRTELECOM.LOC
> работает.

полностью согласен! сейчас тоже столкнулся с такой проблемой

стоит сделать net ads keytab create и pam_krb5 отказывается работать

стоит сделать net ads keytab flush и он работает

еще заметил, что pam_krb5 работает, когда разблокируешь gnome-screensaver даже при созданном кейтабе в /etc/krb5.keytab

;)

во чудеса.

вы не разобрались еще отчего такое поведение ?

"pam_krb5 и самба"
Отправлено thebas , 30-Июн-11 14:17 
> вы не разобрались еще отчего такое поведение ?

Сервер был поставлен под виндой. Т.к. сам я не смог разобраться, а умные люди не подсказали.

"pam_krb5 и самба"
Отправлено netc , 30-Июн-11 16:07 
>> вы не разобрались еще отчего такое поведение ?
> Сервер был поставлен под виндой. Т.к. сам я не смог разобраться, а
> умные люди не подсказали.

я разобрался ;)

Если удалить все в кейтабе командой

net ads keytab flush

то pam_krb5 работает

но пишет End of key table reached

Хотя билет пользователь получает в нужном месте (в кэше /tmp/krb5cc_<USERNAME>)


отсюда два варианта:

1. Или оставляем keytab пустым, т.е. дропаем все ключи командой описанной выше - что не есть гуд

2. Или дописываем pam_krb5 параметр keytab=FILE:\etc\krb5.keytab в /etc/pam.d/common-auth


Тогда все отрабатывает без проблем.

Скоро выложу статью на нашем опеннете по поводу своих изысканий. Будет интересно!