Installation d'un serveur Kerberos

[Gregco]

Bonjour,

J'essaie d'installer un système SSO basé sur Kerberos. J'aimerais que les personnes n'aient pas besoin de se loguer pour arriver sur l'intranet. Voici mon environnement :
AD sur un W2k Serveur : 192.168.5.34 "srvw2kAD"
intranet sur une ubuntu 8.04 "serveur" : 192.168.1.26 "srvubu002"
Kerberos sur une ubunto 8.04 "serveur" de test : 192.168.1.32 "srvubu003"
domaine : mondomaine.ch

Voici mon fichier /etc/krb5.conf sur srvubu003

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
[libdefaults]
	default_realm = MONDOMAINE.CH
 
	kdc_timesync = 1
	ccache_type = 4
	forwardable = true
	proxiable = true
 
 
[realms]
	MONDOMAINE.CH = {
		kdc = 192.168.5.34
		admin_server = 192.168.5.34
	}
 
[domain_realm]
	.mondomaine.ch = MONDOMAINE.CH
	mondomaine.ch = MONDOMAINE.CH
 
[logging]
	kdc = FILE:/var/log/kerberos/krb5kdc.log
	admin_server = FILE:/var/log/kerberos/kadmin.log
	default = FILE:/var/log/kerberos/krb5lib.log

Voici mon fichier /etc/krb5kdc/kdc.conf sur srvubu003

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
[kdcdefaults]
    kdc_ports = 750,88
 
[realms]
    MONDOMAINE.CH = {
        database_name = /var/lib/krb5kdc/principal
        admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab
        acl_file = /etc/krb5kdc/kadm5.acl
        key_stash_file = /etc/krb5kdc/stash
        kdc_ports = 750,88
        max_life = 10h 0m 0s
        max_renewable_life = 7d 0h 0m 0s
        master_key_type = des3-hmac-sha1
        supported_enctypes = des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3
        default_principal_flags = +preauth
    }

Voici mon fichier /etc/krb5kdc/kadm5.acl sur srvubu003

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

*/admin@MONDOMAINE.CH	*

Quand je fais sur srvubu003 un ntpdate 192.168.5.34 j'obtient :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

10 Jun 14:00:50 ntpdate [5638]: steptime server 192.168.5.34 offset 0.701071 sec

Voici mon problème. J'ai fait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
sudo kadmin.local
Authenticating as principal root/admin@MONDOMAINE.CH with password.
 
kadmin.local:  addprinc root/admin
Enter password for principal "root/admin@MONDOMAINE.CH": ******
Re-enter password for principal "root/admin@MONDOMAINE.CH": ******
Principal "root/admin@MONDOMAINE.CH" created.
quit
 
invoke-rc.d krb5-admin-server restart    [OK]

jusque là, tout semble ok. ensuite j'ai voulut utiliser kadmin

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
sudo kadmin
Authenticating as principal root/admin@MONDOMAINE.CH with password.
 
kadmin: Client not found in kerberos database while initializing kadmin interface.

Et là ça fait 1 jours 1/2 que je cherche, mais pas moyen de me dépatouiller. Je n'ai jamais touché à Kerberos, et je ne comprend pas encore comment il fonctionne. Pour information, je n'administre pas l'AD, juste les serveurs Linux. Pour info, mes serveurs Linux ne sont pas enregistré dans le domaine.

D'avance merci pour vos lumières

[Gregco]

J'apporte quelques précisions. Après avoir reboot ma machine, voici ce que m'affiche un klist -5

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
klist -5
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)

Je fais un kinit avec un utilisateur présent dans l'AD de srvw2kAD

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
kinit userTestAD
Password for userTestAD@MONDOMAINE.CH: ******

Ce qui est bon signe, c'est qui si je tappe faux le mot de passe, il le reconnait. J'imagine donc que mon kerberos dialogue avec l'AD.

Dernière petite chose... en refaisant un klist -5 voici se que j'obtiens

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
klist -5
 
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: monUserPerso@MONDOMAINE.CH
 
Valid starting     Expires            Service principal
06/10/08 15:26:36  06/11/08 01:27:05  krbtgt/MONDOMAINE.CH@MONDOMAINE.CH

J'espère que ça bon signe...

++
Greg

[GuYoM78]

Citation:

Envoyé par Gregco

J'apporte quelques précisions. Après avoir reboot ma machine, voici ce que m'affiche un klist -5

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Je fais un kinit avec un utilisateur présent dans l'AD de srvw2kAD

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Ce qui est bon signe, c'est qui si je tappe faux le mot de passe, il le reconnait. J'imagine donc que mon kerberos dialogue avec l'AD.

Dernière petite chose... en refaisant un klist -5 voici se que j'obtiens

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

J'espère que ça bon signe...

++
Greg

j'ai le même problème depuis au moins deux semaines, dommage qu'il n'y ait pas de réponses.