Re: Integrazione Active Directory...
Ho risolto, è bastato commentare le righe del krb5.conf relative ai tipi
di crittografia, e adesso va che è una favola! Evidentemente in questo
modo il client o usa un default adatto alla componente Kerberos di AD,
oppure riesce a concordare col server quale crittografia usare.
Ti ringrazio dei consigli e del link che mi hai mandato, perché l'idea
mi è venuta da lì.
Ciao e a presto.
On Thu, 2011-05-19 at 10:59 +0200, Antonio Doldo wrote:
> Il 18/05/2011 18:29, andrea ha scritto:
> > Salve,
> >
> > amministro da anni una rete Microsoft con Active Directory, ma la mia
> > postazione personale è sempre una Debian, attualmente Squeeze,
> > ovviamente.
> >
> > La cosa che mi da sui nervi è che, pur essendo correttamente integrata
> > in AD, la mia postazione è l'unica sulla quale, per accedere a una
> > qualunque risorsa condivisa, si debba sempre inserire, almeno una volta
> > per sessione, le credenziali.
> >
> > Penso che sia un problema legato a Kerberos, perché è la componente che
> > dovrebbe garantirmi accesso alle risorse per il solo fatto che ho
> > effettuato il login. Forse il ticket scade troppo presto, o qualcosa del
> > genere.
> Ammesso che krb5.conf sia uguale agli altri, ti converrebbe rigenerare
> il ticket dopo avere eliminato
> con kdestroy quelli in uso:
>
> # klist
> Ticket cache: FILE:/tmp/krb5cc_0
> Default principal: Administrator@XXXXXXXX
>
> Valid starting Expires Service principal
> 05/19/11 10:42:39 05/19/11 20:42:43 krbtgt/XXXXXXXX@XXXXXXXX
> renew until 05/20/11 10:42:39
>
>
> cosi per 10 minuti (default) puoi mettere la macchina a dominio
> io controllerei smb.conf, krb5.conf e nsswitch.conf oltre a /etc/pam.d/
>
> se vuoi rinnovare il ticket prima che scada usa 'kinit -R' oppure
> specifica in krb5.conf
> ticket_lifetime = 24h
> > Per il resto, infatti, l'integrazione mi sembra perfetta: quando sta per
> > scadere la password, in base alla policy di dominio, al login ricevo un
> > avviso; la complessità della password, la durata etc. sono proprio
> > quelle previste dalle policy; i permessi di accesso alle varie risorse,
> > in base ai gruppi cui appartengo, funzionano correttamente.
> >
> questa è una cosa che interessa me, mi dici come ricevi la notifica? hai
> messo in smb.conf qualche specifica?
> > L'unica cosa che non mi sembra corretta è appunto la continua richiesta
> > delle credenziali per accedere alle risorse, salvo a memorizzarle fino
> > alla fine della sessione, che però è una soluzione che non mi piace.
> >
> sulla macchina in locale esiste un account identico a quello del dominio?
> qui ho raccolto qualche link utile:
> http://www.delicious.com/antoniodoldo/winbind
> > Qualunque suggerimento sarà molto gradito.
> >
> > Saluti a tutti.
> >
> Altra cosa che mi viene in mente è di eliminare la cache winbind.
>
> Ciao,
> Antonio
>
Reply to: