Re: Integrazione Active Directory...
On Fri, 2011-05-20 at 09:08 +0200, Antonio Doldo wrote:
> Il 19/05/2011 18:08, andrea ha scritto:
> > On Thu, 2011-05-19 at 10:59 +0200, Antonio Doldo wrote:
> >> Il 18/05/2011 18:29, andrea ha scritto:
> >>> Salve,
> >>>
> >>> amministro da anni una rete Microsoft con Active Directory, ma la mia
> >>> postazione personale è sempre una Debian, attualmente Squeeze,
> >>> ovviamente.
> >>>
> >>> La cosa che mi da sui nervi è che, pur essendo correttamente integrata
> >>> in AD, la mia postazione è l'unica sulla quale, per accedere a una
> >>> qualunque risorsa condivisa, si debba sempre inserire, almeno una volta
> >>> per sessione, le credenziali.
> >>>
> >>> Penso che sia un problema legato a Kerberos, perché è la componente che
> >>> dovrebbe garantirmi accesso alle risorse per il solo fatto che ho
> >>> effettuato il login. Forse il ticket scade troppo presto, o qualcosa del
> >>> genere.
> >> Ammesso che krb5.conf sia uguale agli altri, ti converrebbe rigenerare
> >> il ticket dopo avere eliminato
> >> con kdestroy quelli in uso:
> >>
> >> # klist
> > Ho sicuramente qualcosa che non va sul krb5.conf: infatti klist (o
> > kinit, non ricordo bene), ben lungi da rispondere come sotto, dice che
> > non è disponibile alcun metodo di crittografia, e fa pure lo spiritoso
> > dicendo "(config file error?)". Purtroppo non ho potuto leggere la lista
> > dall'ufficio e ora non ricordo con esattezza il messaggio di errore, ma
> > è chiaro che ho sbagliato qualcosa: forse non sono installate le
> > librerie relative ai tipi di crittografia dichiarati nel krb5.conf.
> >
> Ciao,
> kinit serve per richiedere il ticket, salva il krb5.conf e mettine uno
> piu' semplice ;)
>
> dai un'occhiata a questo per DOMAIN.TLD, confrontalo e fammi sapere:
> http://pastebin.com/NedMD6kg
Grazie, in effetti ci sono differenze significative proprio nei tipi di
cifratura. Sicuramente il mio problema è quello. Per il resto mi sembra
molto simile a quello che uso io
> >> Ticket cache: FILE:/tmp/krb5cc_0
> >> Default principal: Administrator@XXXXXXXX
> >>
> >> Valid starting Expires Service principal
> >> 05/19/11 10:42:39 05/19/11 20:42:43 krbtgt/XXXXXXXX@XXXXXXXX
> >> renew until 05/20/11 10:42:39
> >>
> >>
> >> cosi per 10 minuti (default) puoi mettere la macchina a dominio
> >> io controllerei smb.conf, krb5.conf e nsswitch.conf oltre a /etc/pam.d/
> >>
> >> se vuoi rinnovare il ticket prima che scada usa 'kinit -R' oppure
> >> specifica in krb5.conf
> >> ticket_lifetime = 24h
> >>> Per il resto, infatti, l'integrazione mi sembra perfetta: quando sta per
> >>> scadere la password, in base alla policy di dominio, al login ricevo un
> >>> avviso; la complessità della password, la durata etc. sono proprio
> >>> quelle previste dalle policy; i permessi di accesso alle varie risorse,
> >>> in base ai gruppi cui appartengo, funzionano correttamente.
> >>>
> >> questa è una cosa che interessa me, mi dici come ricevi la notifica? hai
> >> messo in smb.conf qualche specifica?
> > Appena digitata la password corrente, compare un popup con bottone OK
> > che dice "your password will expire...". Immagino sia prodotto da gdm.
> > Domani dall'ufficio cerco di mandarti i file di configurazione, ma
> > intanto posso darti quasi per certo che tutto dipende solo dai file in
> > pam.d, solo che al momento non ricordo quali.
> >
> nelle distro debian based, i files interessati (per winbind) sono:
> common-account:
> account sufficient pam_winbind.so
> account required pam_unix.so
Uguale al mio.
> common-auth:
> auth sufficient pam_winbind.so
> auth required pam_unix.so nullok_secure
Pure.
> common-password:
> password required pam_unix.so nullok obscure min=4
> max=8 md5
> password [success=1 default=ignore]
> pam_winbind.so use_authtok try_first_pass
No, io queste righe le ho scambiate. Non ricordo bene, ma mi sa che
l'ordine dev'essere significativo. Infatti "man pam.d" dice ad esempio
che il controllo "required" fa fallire in ogni caso il modulo a cui si
riferisce, ma solo dopo che tutti gli altri controlli "rimanenti" sono
stati invocati. Anche parlando di "sufficient" dice che se il controllo
ha successo non vengono invocati i "rimanenti".
Comunque ecco le mie righe:
password sufficient pam_winbind.so
password required pam_unix.so nullok obscure md5
> common-session:
> session required pam_mkhomedir.so skel=/etc/skel/
> session sufficient pam_winbind.so
> session required pam_unix.so
>
Uguali, salvo la prima in cui ho aggiunto umask=0022, ma non è rilevante
in questo discorso.
Tutti gli altri file sono il default. Quindi non capisco perché a te non
venga data la notifica.
> NB quest'ultima crea la home a *tutti* i domain users al primo accesso,
> dipende dalle policies aziendali
>
>
> >>> L'unica cosa che non mi sembra corretta è appunto la continua richiesta
> >>> delle credenziali per accedere alle risorse, salvo a memorizzarle fino
> >>> alla fine della sessione, che però è una soluzione che non mi piace.
> >>>
> >> sulla macchina in locale esiste un account identico a quello del dominio?
> >> qui ho raccolto qualche link utile:
> >> http://www.delicious.com/antoniodoldo/winbind
> >>> Qualunque suggerimento sarà molto gradito.
> >>>
> >>> Saluti a tutti.
> >>>
> >> Altra cosa che mi viene in mente è di eliminare la cache winbind.
> > Avendo ormai certezza che kerberos è configurato male, non so se la
> > cache di winbind abbia una responsabilità. In pratica l'autenticazione è
> > tutta lasciata a samba/winbind, visto che kerberos non può fornire i
> > ticket.
> >
> ma parli dell'autenticazione verso la tua macchina? o verso le shares di
> dominio?
> In queste ultime kerberos ha la precedenza.
Parlo della mia macchina che accede a risorse nella rete: le macchine
Windows non hanno alcun problema ad accedere alle mie share, i problemi
ce li ho solo io e sono seccanti.
>
>
> > Intanto grazie per la risposta, già stiamo andando da qualche parte.
> >
> ciao,
> Antonio
Fammi sapere se scambiando le righe in common-password ti cambia
qualcosa.
Ciao e grazie.
Reply to: