Re: Integrazione Active Directory...

To: andrea <sarkiaponius@alice.it>
Cc: Debian Mailing List <debian-italian@lists.debian.org>
Subject: Re: Integrazione Active Directory...
From: Antonio Doldo <antonio.doldo@gmail.com>
Date: Thu, 19 May 2011 10:59:36 +0200
Message-id: <[🔎] 4DD4DBF8.20302@gmail.com>
In-reply-to: <[🔎] 1305736181.3542.10.camel@debian>
References: <[🔎] 1305736181.3542.10.camel@debian>

Il 18/05/2011 18:29, andrea ha scritto:

Salve,

amministro da anni una rete Microsoft con Active Directory, ma la mia
postazione personale è sempre una Debian, attualmente Squeeze,
ovviamente.

La cosa che mi da sui nervi è che, pur essendo correttamente integrata
in AD, la mia postazione è l'unica sulla quale, per accedere a una
qualunque risorsa condivisa, si debba sempre inserire, almeno una volta
per sessione, le credenziali.

Penso che sia un problema legato a Kerberos, perché è la componente che
dovrebbe garantirmi accesso alle risorse per il solo fatto che ho
effettuato il login. Forse il ticket scade troppo presto, o qualcosa del
genere.

Ammesso che krb5.conf sia uguale agli altri, ti converrebbe rigenerareil ticket dopo avere eliminato

con kdestroy quelli in uso:

# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@XXXXXXXX

Valid starting     Expires            Service principal
05/19/11 10:42:39  05/19/11 20:42:43  krbtgt/XXXXXXXX@XXXXXXXX
    renew until 05/20/11 10:42:39


cosi per 10 minuti (default) puoi mettere la macchina a dominio
io controllerei smb.conf, krb5.conf e nsswitch.conf oltre a /etc/pam.d/

se vuoi rinnovare il ticket prima che scada usa 'kinit -R' oppurespecifica in krb5.conf

ticket_lifetime = 24h

Per il resto, infatti, l'integrazione mi sembra perfetta: quando sta per
scadere la password, in base alla policy di dominio, al login ricevo un
avviso; la complessità della password, la durata etc. sono proprio
quelle previste dalle policy; i permessi di accesso alle varie risorse,
in base ai gruppi cui appartengo, funzionano correttamente.

questa è una cosa che interessa me, mi dici come ricevi la notifica? haimesso in smb.conf qualche specifica?

L'unica cosa che non mi sembra corretta è appunto la continua richiesta
delle credenziali per accedere alle risorse, salvo a memorizzarle fino
alla fine della sessione, che però è una soluzione che non mi piace.

sulla macchina in locale esiste un account identico a quello del dominio?
qui ho raccolto qualche link utile:
http://www.delicious.com/antoniodoldo/winbind

Qualunque suggerimento sarà molto gradito.

Saluti a tutti.

Altra cosa che mi viene in mente è di eliminare la cache winbind.

Ciao,
Antonio

Reply to:

Follow-Ups:
- Re: Integrazione Active Directory...
  - From: andrea <sarkiaponius@alice.it>
- Re: Integrazione Active Directory...
  - From: andrea <sarkiaponius@alice.it>

References:
- Integrazione Active Directory...
  - From: andrea <sarkiaponius@alice.it>

Prev by Date: Re: [Semi OT-Risolto] Me ne vergogno un po'
Next by Date: Abilita la tua carta Postepay al sistema Sicurezza Web
Previous by thread: Integrazione Active Directory...
Next by thread: Re: Integrazione Active Directory...
Index(es):
- Date
- Thread