Re: Integrazione Active Directory...
Ho risolto, è bastato commentare le righe del krb5.conf relative ai tipi di crittografia, e adesso va che è una favola! Evidentemente in questo modo il client o usa un default adatto alla componente Kerberos di AD, oppure riesce a concordare col server quale crittografia usare. Ti ringrazio dei consigli e del link che mi hai mandato, perché l'idea mi è venuta da lì. Ciao e a presto. On Thu, 2011-05-19 at 10:59 +0200, Antonio Doldo wrote: Il 18/05/2011 18:29, andrea ha scritto: Salve, amministro da anni una rete Microsoft con Active Directory, ma la mia postazione personale è sempre una Debian, attualmente Squeeze, ovviamente. La cosa che mi da sui nervi è che, pur essendo correttamente integrata in AD, la mia postazione è l'unica sulla quale, per accedere a una qualunque risorsa condivisa, si debba sempre inserire, almeno una volta per sessione, le credenziali. Penso che sia un problema legato a Kerberos, perché è la componente che dovrebbe garantirmi accesso alle risorse per il solo fatto che ho effettuato il login. Forse il ticket scade troppo presto, o qualcosa del genere. Ammesso che krb5.conf sia uguale agli altri, ti converrebbe rigenerare il ticket dopo avere eliminato con kdestroy quelli in uso: # klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: Administrator@ Valid starting ExpiresService principal 05/19/11 10:42:39 05/19/11 20:42:43 krbtgt/@ renew until 05/20/11 10:42:39 cosi per 10 minuti (default) puoi mettere la macchina a dominio io controllerei smb.conf, krb5.conf e nsswitch.conf oltre a /etc/pam.d/ se vuoi rinnovare il ticket prima che scada usa 'kinit -R' oppure specifica in krb5.conf ticket_lifetime = 24h Per il resto, infatti, l'integrazione mi sembra perfetta: quando sta per scadere la password, in base alla policy di dominio, al login ricevo un avviso; la complessità della password, la durata etc. sono proprio quelle previste dalle policy; i permessi di accesso alle varie risorse, in base ai gruppi cui appartengo, funzionano correttamente. questa è una cosa che interessa me, mi dici come ricevi la notifica? hai messo in smb.conf qualche specifica? L'unica cosa che non mi sembra corretta è appunto la continua richiesta delle credenziali per accedere alle risorse, salvo a memorizzarle fino alla fine della sessione, che però è una soluzione che non mi piace. sulla macchina in locale esiste un account identico a quello del dominio? qui ho raccolto qualche link utile: http://www.delicious.com/antoniodoldo/winbind Qualunque suggerimento sarà molto gradito. Saluti a tutti. Altra cosa che mi viene in mente è di eliminare la cache winbind. Ciao, Antonio -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1306436839.4587.2.camel@debian
Re: Integrazione Active Directory...
Il 19/05/2011 18:08, andrea ha scritto: On Thu, 2011-05-19 at 10:59 +0200, Antonio Doldo wrote: Il 18/05/2011 18:29, andrea ha scritto: Salve, amministro da anni una rete Microsoft con Active Directory, ma la mia postazione personale è sempre una Debian, attualmente Squeeze, ovviamente. La cosa che mi da sui nervi è che, pur essendo correttamente integrata in AD, la mia postazione è l'unica sulla quale, per accedere a una qualunque risorsa condivisa, si debba sempre inserire, almeno una volta per sessione, le credenziali. Penso che sia un problema legato a Kerberos, perché è la componente che dovrebbe garantirmi accesso alle risorse per il solo fatto che ho effettuato il login. Forse il ticket scade troppo presto, o qualcosa del genere. Ammesso che krb5.conf sia uguale agli altri, ti converrebbe rigenerare il ticket dopo avere eliminato con kdestroy quelli in uso: # klist Ho sicuramente qualcosa che non va sul krb5.conf: infatti klist (o kinit, non ricordo bene), ben lungi da rispondere come sotto, dice che non è disponibile alcun metodo di crittografia, e fa pure lo spiritoso dicendo (config file error?). Purtroppo non ho potuto leggere la lista dall'ufficio e ora non ricordo con esattezza il messaggio di errore, ma è chiaro che ho sbagliato qualcosa: forse non sono installate le librerie relative ai tipi di crittografia dichiarati nel krb5.conf. Ciao, kinit serve per richiedere il ticket, salva il krb5.conf e mettine uno piu' semplice ;) dai un'occhiata a questo per DOMAIN.TLD, confrontalo e fammi sapere: http://pastebin.com/NedMD6kg Ticket cache: FILE:/tmp/krb5cc_0 Default principal: Administrator@ Valid starting ExpiresService principal 05/19/11 10:42:39 05/19/11 20:42:43 krbtgt/@ renew until 05/20/11 10:42:39 cosi per 10 minuti (default) puoi mettere la macchina a dominio io controllerei smb.conf, krb5.conf e nsswitch.conf oltre a /etc/pam.d/ se vuoi rinnovare il ticket prima che scada usa 'kinit -R' oppure specifica in krb5.conf ticket_lifetime = 24h Per il resto, infatti, l'integrazione mi sembra perfetta: quando sta per scadere la password, in base alla policy di dominio, al login ricevo un avviso; la complessità della password, la durata etc. sono proprio quelle previste dalle policy; i permessi di accesso alle varie risorse, in base ai gruppi cui appartengo, funzionano correttamente. questa è una cosa che interessa me, mi dici come ricevi la notifica? hai messo in smb.conf qualche specifica? Appena digitata la password corrente, compare un popup con bottone OK che dice your password will expire Immagino sia prodotto da gdm. Domani dall'ufficio cerco di mandarti i file di configurazione, ma intanto posso darti quasi per certo che tutto dipende solo dai file in pam.d, solo che al momento non ricordo quali. nelle distro debian based, i files interessati (per winbind) sono: common-account: accountsufficientpam_winbind.so accountrequiredpam_unix.so common-auth: authsufficientpam_winbind.so authrequiredpam_unix.so nullok_secure common-password: password required pam_unix.so nullok obscure min=4 max=8 md5 password [success=1 default=ignore] pam_winbind.so use_authtok try_first_pass common-session: sessionrequiredpam_mkhomedir.so skel=/etc/skel/ sessionsufficientpam_winbind.so sessionrequiredpam_unix.so NB quest'ultima crea la home a *tutti* i domain users al primo accesso, dipende dalle policies aziendali L'unica cosa che non mi sembra corretta è appunto la continua richiesta delle credenziali per accedere alle risorse, salvo a memorizzarle fino alla fine della sessione, che però è una soluzione che non mi piace. sulla macchina in locale esiste un account identico a quello del dominio? qui ho raccolto qualche link utile: http://www.delicious.com/antoniodoldo/winbind Qualunque suggerimento sarà molto gradito. Saluti a tutti. Altra cosa che mi viene in mente è di eliminare la cache winbind. Avendo ormai certezza che kerberos è configurato male, non so se la cache di winbind abbia una responsabilità. In pratica l'autenticazione è tutta lasciata a samba/winbind, visto che kerberos non può fornire i ticket. ma parli dell'autenticazione verso la tua macchina? o verso le shares di dominio? In queste ultime kerberos ha la precedenza. Intanto grazie per la risposta, già stiamo andando da qualche parte. ciao, Antonio -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive:
Re: Integrazione Active Directory...
On Fri, 2011-05-20 at 09:08 +0200, Antonio Doldo wrote: Il 19/05/2011 18:08, andrea ha scritto: On Thu, 2011-05-19 at 10:59 +0200, Antonio Doldo wrote: Il 18/05/2011 18:29, andrea ha scritto: Salve, amministro da anni una rete Microsoft con Active Directory, ma la mia postazione personale è sempre una Debian, attualmente Squeeze, ovviamente. La cosa che mi da sui nervi è che, pur essendo correttamente integrata in AD, la mia postazione è l'unica sulla quale, per accedere a una qualunque risorsa condivisa, si debba sempre inserire, almeno una volta per sessione, le credenziali. Penso che sia un problema legato a Kerberos, perché è la componente che dovrebbe garantirmi accesso alle risorse per il solo fatto che ho effettuato il login. Forse il ticket scade troppo presto, o qualcosa del genere. Ammesso che krb5.conf sia uguale agli altri, ti converrebbe rigenerare il ticket dopo avere eliminato con kdestroy quelli in uso: # klist Ho sicuramente qualcosa che non va sul krb5.conf: infatti klist (o kinit, non ricordo bene), ben lungi da rispondere come sotto, dice che non è disponibile alcun metodo di crittografia, e fa pure lo spiritoso dicendo (config file error?). Purtroppo non ho potuto leggere la lista dall'ufficio e ora non ricordo con esattezza il messaggio di errore, ma è chiaro che ho sbagliato qualcosa: forse non sono installate le librerie relative ai tipi di crittografia dichiarati nel krb5.conf. Ciao, kinit serve per richiedere il ticket, salva il krb5.conf e mettine uno piu' semplice ;) dai un'occhiata a questo per DOMAIN.TLD, confrontalo e fammi sapere: http://pastebin.com/NedMD6kg Grazie, in effetti ci sono differenze significative proprio nei tipi di cifratura. Sicuramente il mio problema è quello. Per il resto mi sembra molto simile a quello che uso io Ticket cache: FILE:/tmp/krb5cc_0 Default principal: Administrator@ Valid starting ExpiresService principal 05/19/11 10:42:39 05/19/11 20:42:43 krbtgt/@ renew until 05/20/11 10:42:39 cosi per 10 minuti (default) puoi mettere la macchina a dominio io controllerei smb.conf, krb5.conf e nsswitch.conf oltre a /etc/pam.d/ se vuoi rinnovare il ticket prima che scada usa 'kinit -R' oppure specifica in krb5.conf ticket_lifetime = 24h Per il resto, infatti, l'integrazione mi sembra perfetta: quando sta per scadere la password, in base alla policy di dominio, al login ricevo un avviso; la complessità della password, la durata etc. sono proprio quelle previste dalle policy; i permessi di accesso alle varie risorse, in base ai gruppi cui appartengo, funzionano correttamente. questa è una cosa che interessa me, mi dici come ricevi la notifica? hai messo in smb.conf qualche specifica? Appena digitata la password corrente, compare un popup con bottone OK che dice your password will expire Immagino sia prodotto da gdm. Domani dall'ufficio cerco di mandarti i file di configurazione, ma intanto posso darti quasi per certo che tutto dipende solo dai file in pam.d, solo che al momento non ricordo quali. nelle distro debian based, i files interessati (per winbind) sono: common-account: accountsufficientpam_winbind.so accountrequiredpam_unix.so Uguale al mio. common-auth: authsufficientpam_winbind.so authrequiredpam_unix.so nullok_secure Pure. common-password: password required pam_unix.so nullok obscure min=4 max=8 md5 password [success=1 default=ignore] pam_winbind.so use_authtok try_first_pass No, io queste righe le ho scambiate. Non ricordo bene, ma mi sa che l'ordine dev'essere significativo. Infatti man pam.d dice ad esempio che il controllo required fa fallire in ogni caso il modulo a cui si riferisce, ma solo dopo che tutti gli altri controlli rimanenti sono stati invocati. Anche parlando di sufficient dice che se il controllo ha successo non vengono invocati i rimanenti. Comunque ecco le mie righe: password sufficient pam_winbind.so password required pam_unix.so nullok obscure md5 common-session: sessionrequiredpam_mkhomedir.so skel=/etc/skel/ sessionsufficientpam_winbind.so sessionrequiredpam_unix.so Uguali, salvo la prima in cui ho aggiunto umask=0022, ma non è rilevante in questo discorso. Tutti gli altri file sono il default. Quindi non capisco perché a te non venga data la notifica. NB quest'ultima crea la home a *tutti* i domain users al primo accesso, dipende dalle policies aziendali L'unica cosa che non mi sembra corretta è appunto la continua richiesta delle credenziali per accedere alle risorse, salvo a memorizzarle fino alla fine della sessione, che però è una soluzione che non mi piace. sulla macchina in
Re: Integrazione Active Directory...
Il 18/05/2011 18:29, andrea ha scritto: Salve, amministro da anni una rete Microsoft con Active Directory, ma la mia postazione personale è sempre una Debian, attualmente Squeeze, ovviamente. La cosa che mi da sui nervi è che, pur essendo correttamente integrata in AD, la mia postazione è l'unica sulla quale, per accedere a una qualunque risorsa condivisa, si debba sempre inserire, almeno una volta per sessione, le credenziali. Penso che sia un problema legato a Kerberos, perché è la componente che dovrebbe garantirmi accesso alle risorse per il solo fatto che ho effettuato il login. Forse il ticket scade troppo presto, o qualcosa del genere. Ammesso che krb5.conf sia uguale agli altri, ti converrebbe rigenerare il ticket dopo avere eliminato con kdestroy quelli in uso: # klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: Administrator@ Valid starting ExpiresService principal 05/19/11 10:42:39 05/19/11 20:42:43 krbtgt/@ renew until 05/20/11 10:42:39 cosi per 10 minuti (default) puoi mettere la macchina a dominio io controllerei smb.conf, krb5.conf e nsswitch.conf oltre a /etc/pam.d/ se vuoi rinnovare il ticket prima che scada usa 'kinit -R' oppure specifica in krb5.conf ticket_lifetime = 24h Per il resto, infatti, l'integrazione mi sembra perfetta: quando sta per scadere la password, in base alla policy di dominio, al login ricevo un avviso; la complessità della password, la durata etc. sono proprio quelle previste dalle policy; i permessi di accesso alle varie risorse, in base ai gruppi cui appartengo, funzionano correttamente. questa è una cosa che interessa me, mi dici come ricevi la notifica? hai messo in smb.conf qualche specifica? L'unica cosa che non mi sembra corretta è appunto la continua richiesta delle credenziali per accedere alle risorse, salvo a memorizzarle fino alla fine della sessione, che però è una soluzione che non mi piace. sulla macchina in locale esiste un account identico a quello del dominio? qui ho raccolto qualche link utile: http://www.delicious.com/antoniodoldo/winbind Qualunque suggerimento sarà molto gradito. Saluti a tutti. Altra cosa che mi viene in mente è di eliminare la cache winbind. Ciao, Antonio -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4dd4dbf8.20...@gmail.com
Re: Integrazione Active Directory...
On Thu, 2011-05-19 at 10:59 +0200, Antonio Doldo wrote: Il 18/05/2011 18:29, andrea ha scritto: Salve, amministro da anni una rete Microsoft con Active Directory, ma la mia postazione personale è sempre una Debian, attualmente Squeeze, ovviamente. La cosa che mi da sui nervi è che, pur essendo correttamente integrata in AD, la mia postazione è l'unica sulla quale, per accedere a una qualunque risorsa condivisa, si debba sempre inserire, almeno una volta per sessione, le credenziali. Penso che sia un problema legato a Kerberos, perché è la componente che dovrebbe garantirmi accesso alle risorse per il solo fatto che ho effettuato il login. Forse il ticket scade troppo presto, o qualcosa del genere. Ammesso che krb5.conf sia uguale agli altri, ti converrebbe rigenerare il ticket dopo avere eliminato con kdestroy quelli in uso: # klist Ho sicuramente qualcosa che non va sul krb5.conf: infatti klist (o kinit, non ricordo bene), ben lungi da rispondere come sotto, dice che non è disponibile alcun metodo di crittografia, e fa pure lo spiritoso dicendo (config file error?). Purtroppo non ho potuto leggere la lista dall'ufficio e ora non ricordo con esattezza il messaggio di errore, ma è chiaro che ho sbagliato qualcosa: forse non sono installate le librerie relative ai tipi di crittografia dichiarati nel krb5.conf. Ticket cache: FILE:/tmp/krb5cc_0 Default principal: Administrator@ Valid starting ExpiresService principal 05/19/11 10:42:39 05/19/11 20:42:43 krbtgt/@ renew until 05/20/11 10:42:39 cosi per 10 minuti (default) puoi mettere la macchina a dominio io controllerei smb.conf, krb5.conf e nsswitch.conf oltre a /etc/pam.d/ se vuoi rinnovare il ticket prima che scada usa 'kinit -R' oppure specifica in krb5.conf ticket_lifetime = 24h Per il resto, infatti, l'integrazione mi sembra perfetta: quando sta per scadere la password, in base alla policy di dominio, al login ricevo un avviso; la complessità della password, la durata etc. sono proprio quelle previste dalle policy; i permessi di accesso alle varie risorse, in base ai gruppi cui appartengo, funzionano correttamente. questa è una cosa che interessa me, mi dici come ricevi la notifica? hai messo in smb.conf qualche specifica? Appena digitata la password corrente, compare un popup con bottone OK che dice your password will expire Immagino sia prodotto da gdm. Domani dall'ufficio cerco di mandarti i file di configurazione, ma intanto posso darti quasi per certo che tutto dipende solo dai file in pam.d, solo che al momento non ricordo quali. L'unica cosa che non mi sembra corretta è appunto la continua richiesta delle credenziali per accedere alle risorse, salvo a memorizzarle fino alla fine della sessione, che però è una soluzione che non mi piace. sulla macchina in locale esiste un account identico a quello del dominio? qui ho raccolto qualche link utile: http://www.delicious.com/antoniodoldo/winbind Qualunque suggerimento sarà molto gradito. Saluti a tutti. Altra cosa che mi viene in mente è di eliminare la cache winbind. Avendo ormai certezza che kerberos è configurato male, non so se la cache di winbind abbia una responsabilità. In pratica l'autenticazione è tutta lasciata a samba/winbind, visto che kerberos non può fornire i ticket. Intanto grazie per la risposta, già stiamo andando da qualche parte. Ciao, Antonio -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1305821330.4024.6.camel@debian
Integrazione Active Directory...
Salve, amministro da anni una rete Microsoft con Active Directory, ma la mia postazione personale è sempre una Debian, attualmente Squeeze, ovviamente. La cosa che mi da sui nervi è che, pur essendo correttamente integrata in AD, la mia postazione è l'unica sulla quale, per accedere a una qualunque risorsa condivisa, si debba sempre inserire, almeno una volta per sessione, le credenziali. Penso che sia un problema legato a Kerberos, perché è la componente che dovrebbe garantirmi accesso alle risorse per il solo fatto che ho effettuato il login. Forse il ticket scade troppo presto, o qualcosa del genere. Per il resto, infatti, l'integrazione mi sembra perfetta: quando sta per scadere la password, in base alla policy di dominio, al login ricevo un avviso; la complessità della password, la durata etc. sono proprio quelle previste dalle policy; i permessi di accesso alle varie risorse, in base ai gruppi cui appartengo, funzionano correttamente. L'unica cosa che non mi sembra corretta è appunto la continua richiesta delle credenziali per accedere alle risorse, salvo a memorizzarle fino alla fine della sessione, che però è una soluzione che non mi piace. Qualunque suggerimento sarà molto gradito. Saluti a tutti. -- andrea sarkiapon...@alice.it -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1305736181.3542.10.camel@debian
