Discussion :

[nicnictout]

Bonjour,

je dois monter un annuaire LDAP sous Red Hat 9.0 pour l'authentification des utilisateurs. Seulement je suis dans l'incertitude sur quelques points...

J'ai crée mon annuaire et mon arbre est bien remplie, je peux le consulter avec les clients ldapadd, modify... Je dois maintenant m'attacher aux ACL et a SASL. Je voudrais mettre Kerberos5 pour sécuriser tout cela mais il m'est impossible de récupérer un ticket du serveur même en travaillant en local sur la machine.

Je me trompe peut être mais ne trouvant pas de réponse j'en viens a la poser dans ce forum: FAUT IL Samba ou un controleur de domaine pour rendre Kerberos opérationnel. Il me dit qu'il n'arrive pas à se connecter au serveur kadmin car il ne trouve pas l'hote. J'en conclut que le dns ne doit pas faire son boulot, et que du coup mon serveur est invisible car il manque Samba.

Je ne suis pas un expert alors pardonnez mon ignorance si ce que je dis est totalement faux, mais j'avoue que LDAP, Samba, etc, etc... s'imbrique l'un dans l'autre et au bout d'un moment je me demande si il ne faut pas les monter en parrallèle pour qu'il soit pleinement opérationnels.

Merci de vos lumières qui seront les bienvenues.

[julp]

Non Samba et Kerberos sont deux choses différentes qui fonctionnent de façon indépendantes. Kerberos, disons, assure l'authentification des utilisateurs, c'est un protocole et également un moyen d'authentification - le plus sûr à ma connaissance. C'est vrai le protocole Kerberos est assez difficile à comprendre (mais la compréhension est une étape préliminaire nécessaire avant sa mise en place). Samba, n'est qu'un serveur de fichiers qui, me semble-t-il, ne sait pas utiliser directement de lui-même Kerberos (OpenLDAP par contre le peut).

Je pense que tu as fait le lien entre Samba et Kerberos, du fait que Microsoft utilises ce protocole (à sa sauce disons) pour assuer l'authentification des utilisateurs et que dans les documentations trouvées le but était d'intégrer le serveur de fichiers Unix (Samba) au domaine (requiert Kerberos).

Il existe deux implémentations libres majeures de Kerberos : Heimdal et celle du MIT (la plus complète donc la plus complexe).

La FAQ réseau de NetBSD explique brièvement le protocole et la mise en place (implémentation Heimdal). Sinon la documentation proposée par le site de l'implémentation du MIT s'avère complète.


Cordialement, Julp

[nicnictout]

Bonjour à tous, d'abord merci à ceux qui se sont arrété sur mon post et pris quelques minutes pour le lire et encore un plus grand merci julp de m'avoir répondu.

J'ai avancé sur mon serveur mais j'ai une petite question qui me turlupine un peu. J'en suis encore à la configuration du serveur et pas du client, j'arrive à creer mes utilisateurs, même à les loguer je pense car lorsque je lance un kinit nicolas/admin il me demande un mot de passe et une fois rentré je n'ai aucun message d'erreur (sauf si je me trompe dans le mdp bien sur 8O )

Lorsque je fais un klist, il me dit que le service à démarrer, mais je n'ai aucun tickets visible, et Kerberos me sort un message en bas: "You have no tickets cached". Du coup je suis un peu perdu, est ce normal?

Je ne voudrais pas me disperser et faire 36 choses en parallèles, donc je voudrais être sur que ma partie serveur fonctionne déjà correctement avant de tenter la partie cliente.

D'avance merci

[julp]

Je pense que, dans la mesure où tu n'as pas encore configuré le client, c'est normal. Les tickets si j'ai bonne mémoire (parce que ça va faire un an que j'ai pas touché à Kerberos) sont stockés sous forme de fichiers dans /tmp. Tu as bien enregistré tes utilisateurs ?


Cordialement, Julp

[nicnictout]

Salut Julp,

et bien en effet les tickets sont stockés dans le répertoire /tmp/krb5cc_0

J'ai essayé d'éditer le fichier avec un "hexdump -c" mais je ne vois jamais qu'un seul utilisateur, c'est pour ça que je trouve bizarre qu'il me dise pas de ticket alors que dans le fichier il apparait... De plus, mais là c'est déjà plus normal quand je tue les ticket avec kdestroy, le fichier en cause est alors inexistant.

Je vais essayer cette après midi de configurer la partie cliente, on verra bien si cela résoud mes souci. Je te tiens au courant et encore merci de ton aide.

The ldap-padaone ;-)