On 5/24/07, Cristian Sandescu <[EMAIL PROTECTED]> wrote:
[...]
Ma voi documenta cu privire la Kerberos, si la cum trebuie sa arate
conf-ul pentru DNS (in acest moment am un DNS dar nu este nimic special
acolo).
Intrarile SRV din DNS iti trebuie pentru Kerberos. In felul asta
statiile care cauta KDC (kerberos domain controller parca :D) pentru
un domeniu, cauta _kerberos._tcp.domeniu.ro
E bine sa ai DNS-ul configurat si pentru restul de statii pentru ca
windows-ul cauta pe DNS, WINS, NetBIOS broadcast (dar nu stiu daca
asta e si ordinea).
>>Vezi ce e cu scriptul asta. Ruleaza-l ad labam.
Am rezolvat problemele cu smbldap-tools, si pot face adaugarea de useri,
de masini, atat ad labam cat si automat prin samba.
Practic tind sa cred ca era o problema cu configurarea LDAP, si am facut
un fresh install pe LDAP.
In acest moment sunt blocat in incercarea de adaugare a unei statii(win
xp) in domeniu: domeniul este vazut,
se cer credentials-urile pentru adaugarea statiei (introduc root si
parola asociata), gandeste cateva secunde si iese cu:
The following error occurred attempting to join the domain "IDEALX-NT".
The username could not be found.
Incearca sa faci o captura cu wireshark sau tcpdump... si sa te uiti prin ea.
Sunt convins ca nu este vorba despre userul root (pentru ca vad in
loguri ca autentificarea se face, si daca introduc o combinatie gresita
mesajul de eroare apare cu mult mai repede). Mai mult, chiar si acel
"principal" de care spunea Mircea este creat automat de samba prin
apelarea script-ului (contul masinii pe care incerc sa o adaug).
Am o mica nedumerire: pentru ca autentificarea centralizata sa se poata
face prin LDAP este musai ca serverul in sine sa fie configurat sa se
autentifice la LDAP (de ex: ssh, acces-ul la consola, pentru ca am niste
probleme si acolo si nu sunt sigur daca este de la pam sau totul se
trage de la LDAP).
Trebuie sa configurezi /etc/pam.d/ssh si sa faci authentificare cu
ldap sau cu winbind sau cu kerberos. Pentru kerberos poti sa folosesti
o versiune de ssh care sa fie link-at cu GSSAPI:
ldd $(which sshd)
$ ldd $(which sshd)|grep 'krb\|gssapi'
libgssapi_krb5.so.2 => /usr/lib/libgssapi_krb5.so.2 (0x00ea8000)
libkrb5.so.3 => /usr/lib/libkrb5.so.3 (0x00111000)
Si daca il configurezi asa, poti sa te autentifici, cu un client care
stie kerberos, fara sa bagi parola, iti trebuie doar sa pornesti
sesiunea, adica sa obti un tichet TGT cu kinit. Cu klist vezi
tichetele pe care le deti.
Mai exact ma pot loga cu root, insa daca incerc sa fac login pe orice
alt user nu reusesc (CLS:~# su cristi zice Unknown id: cristi)
[...]
_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug
