Re: Integrazione Active Directory...

[Antonio Doldo <antonio.doldo@gmail.com>]

Il 19/05/2011 18:08, andrea ha scritto:
> On Thu, 2011-05-19 at 10:59 +0200, Antonio Doldo wrote:
> > Il 18/05/2011 18:29, andrea ha scritto:
> > > Salve,
> > >
> > > amministro da anni una rete Microsoft con Active Directory, ma la mia
> > > postazione personale è sempre una Debian, attualmente Squeeze,
> > > ovviamente.
> > >
> > > La cosa che mi da sui nervi è che, pur essendo correttamente integrata
> > > in AD, la mia postazione è l'unica sulla quale, per accedere a una
> > > qualunque risorsa condivisa, si debba sempre inserire, almeno una volta
> > > per sessione, le credenziali.
> > >
> > > Penso che sia un problema legato a Kerberos, perché è la componente che
> > > dovrebbe garantirmi accesso alle risorse per il solo fatto che ho
> > > effettuato il login. Forse il ticket scade troppo presto, o qualcosa del
> > > genere.
> > Ammesso che krb5.conf sia uguale agli altri, ti converrebbe rigenerare
> > il ticket dopo avere eliminato
> > con kdestroy quelli in uso:
> >
> > # klist
> Ho sicuramente qualcosa che non va sul krb5.conf: infatti klist (o
> kinit, non ricordo bene), ben lungi da rispondere come sotto, dice che
> non è disponibile alcun metodo di crittografia, e fa pure lo spiritoso
> dicendo "(config file error?)". Purtroppo non ho potuto leggere la lista
> dall'ufficio e ora non ricordo con esattezza il messaggio di errore, ma
> è chiaro che ho sbagliato qualcosa: forse non sono installate le
> librerie relative ai tipi di crittografia dichiarati nel krb5.conf.
Ciao,
kinit serve per richiedere il ticket, salva il krb5.conf e mettine uno 
piu' semplice ;)

dai un'occhiata a questo per DOMAIN.TLD, confrontalo e fammi sapere:
http://pastebin.com/NedMD6kg
> > Ticket cache: FILE:/tmp/krb5cc_0
> > Default principal: Administrator@XXXXXXXX
> >
> > Valid starting     Expires            Service principal
> > 05/19/11 10:42:39  05/19/11 20:42:43  krbtgt/XXXXXXXX@XXXXXXXX
> >       renew until 05/20/11 10:42:39
> >
> >
> > cosi per 10 minuti (default) puoi mettere la macchina a dominio
> > io controllerei smb.conf, krb5.conf e nsswitch.conf oltre a /etc/pam.d/
> >
> > se vuoi rinnovare il ticket prima che scada usa 'kinit -R' oppure
> > specifica in krb5.conf
> > ticket_lifetime = 24h
> > > Per il resto, infatti, l'integrazione mi sembra perfetta: quando sta per
> > > scadere la password, in base alla policy di dominio, al login ricevo un
> > > avviso; la complessità della password, la durata etc. sono proprio
> > > quelle previste dalle policy; i permessi di accesso alle varie risorse,
> > > in base ai gruppi cui appartengo, funzionano correttamente.
> > questa è una cosa che interessa me, mi dici come ricevi la notifica? hai
> > messo in smb.conf qualche specifica?
> Appena digitata la password corrente, compare un popup con bottone OK
> che dice "your password will expire...". Immagino sia prodotto da gdm.
> Domani dall'ufficio cerco di mandarti i file di configurazione, ma
> intanto posso darti quasi per certo che tutto dipende solo dai file in
> pam.d, solo che al momento non ricordo quali.
nelle distro debian based, i files interessati (per winbind) sono:
common-account:
                account    sufficient    pam_winbind.so
                account    required    pam_unix.so
common-auth:
                auth    sufficient    pam_winbind.so
                auth    required    pam_unix.so nullok_secure
common-password:
                password   required   pam_unix.so nullok obscure min=4 
max=8 md5
                password   [success=1 default=ignore]      
pam_winbind.so use_authtok try_first_pass
common-session:
                session    required    pam_mkhomedir.so skel=/etc/skel/
                session    sufficient    pam_winbind.so
                session    required    pam_unix.so

NB quest'ultima crea la home a *tutti* i domain users al primo accesso, 
dipende dalle policies aziendali


> > > L'unica cosa che non mi sembra corretta è appunto la continua richiesta
> > > delle credenziali per accedere alle risorse, salvo a memorizzarle fino
> > > alla fine della sessione, che però è una soluzione che non mi piace.
> > sulla macchina in locale esiste un account identico a quello del dominio?
> > qui ho raccolto qualche link utile:
> > http://www.delicious.com/antoniodoldo/winbind
> > > Qualunque suggerimento sarà molto gradito.
> > >
> > > Saluti a tutti.
> > Altra cosa che mi viene in mente è di eliminare la cache winbind.
> Avendo ormai certezza che kerberos è configurato male, non so se la
> cache di winbind abbia una responsabilità. In pratica l'autenticazione è
> tutta lasciata a samba/winbind, visto che kerberos non può fornire i
> ticket.
ma parli dell'autenticazione verso la tua macchina? o verso le shares di 
dominio?
In queste ultime kerberos ha la precedenza.


> Intanto grazie per la risposta, già stiamo andando da qualche parte.
ciao,
Antonio