Re: Integrazione Active Directory...
On Thu, 2011-05-19 at 10:59 +0200, Antonio Doldo wrote:
> Il 18/05/2011 18:29, andrea ha scritto:
> > Salve,
> >
> > amministro da anni una rete Microsoft con Active Directory, ma la mia
> > postazione personale è sempre una Debian, attualmente Squeeze,
> > ovviamente.
> >
> > La cosa che mi da sui nervi è che, pur essendo correttamente integrata
> > in AD, la mia postazione è l'unica sulla quale, per accedere a una
> > qualunque risorsa condivisa, si debba sempre inserire, almeno una volta
> > per sessione, le credenziali.
> >
> > Penso che sia un problema legato a Kerberos, perché è la componente che
> > dovrebbe garantirmi accesso alle risorse per il solo fatto che ho
> > effettuato il login. Forse il ticket scade troppo presto, o qualcosa del
> > genere.
> Ammesso che krb5.conf sia uguale agli altri, ti converrebbe rigenerare
> il ticket dopo avere eliminato
> con kdestroy quelli in uso:
>
> # klist
Ho sicuramente qualcosa che non va sul krb5.conf: infatti klist (o
kinit, non ricordo bene), ben lungi da rispondere come sotto, dice che
non è disponibile alcun metodo di crittografia, e fa pure lo spiritoso
dicendo "(config file error?)". Purtroppo non ho potuto leggere la lista
dall'ufficio e ora non ricordo con esattezza il messaggio di errore, ma
è chiaro che ho sbagliato qualcosa: forse non sono installate le
librerie relative ai tipi di crittografia dichiarati nel krb5.conf.
> Ticket cache: FILE:/tmp/krb5cc_0
> Default principal: Administrator@XXXXXXXX
>
> Valid starting Expires Service principal
> 05/19/11 10:42:39 05/19/11 20:42:43 krbtgt/XXXXXXXX@XXXXXXXX
> renew until 05/20/11 10:42:39
>
>
> cosi per 10 minuti (default) puoi mettere la macchina a dominio
> io controllerei smb.conf, krb5.conf e nsswitch.conf oltre a /etc/pam.d/
>
> se vuoi rinnovare il ticket prima che scada usa 'kinit -R' oppure
> specifica in krb5.conf
> ticket_lifetime = 24h
> > Per il resto, infatti, l'integrazione mi sembra perfetta: quando sta per
> > scadere la password, in base alla policy di dominio, al login ricevo un
> > avviso; la complessità della password, la durata etc. sono proprio
> > quelle previste dalle policy; i permessi di accesso alle varie risorse,
> > in base ai gruppi cui appartengo, funzionano correttamente.
> >
> questa è una cosa che interessa me, mi dici come ricevi la notifica? hai
> messo in smb.conf qualche specifica?
Appena digitata la password corrente, compare un popup con bottone OK
che dice "your password will expire...". Immagino sia prodotto da gdm.
Domani dall'ufficio cerco di mandarti i file di configurazione, ma
intanto posso darti quasi per certo che tutto dipende solo dai file in
pam.d, solo che al momento non ricordo quali.
> > L'unica cosa che non mi sembra corretta è appunto la continua richiesta
> > delle credenziali per accedere alle risorse, salvo a memorizzarle fino
> > alla fine della sessione, che però è una soluzione che non mi piace.
> >
> sulla macchina in locale esiste un account identico a quello del dominio?
> qui ho raccolto qualche link utile:
> http://www.delicious.com/antoniodoldo/winbind
> > Qualunque suggerimento sarà molto gradito.
> >
> > Saluti a tutti.
> >
> Altra cosa che mi viene in mente è di eliminare la cache winbind.
Avendo ormai certezza che kerberos è configurato male, non so se la
cache di winbind abbia una responsabilità. In pratica l'autenticazione è
tutta lasciata a samba/winbind, visto che kerberos non può fornire i
ticket.
Intanto grazie per la risposta, già stiamo andando da qualche parte.
>
> Ciao,
> Antonio
>
Reply to: