7568Fermer7570
redangelLe 15/07/2019 à 08:46
flanker (./7564):
Tu *dois* être authentifié en Kerberos sur A (ça tombe bien, l'authentification AD sur un Windows récent fait du Kerberos), sur le même AD (ou sur un AD du même domaine) que S.
Alors je suis désolé, mais ton "tu DOIS" est faux. J'imagine que c'est ta casquette de sécurité qui parle, et que tu voulais écrire "tu DEVRAIS" grin
Je dis que c'est faux car ça a marché pour ce serveur, mais surtout ça marche pour 5 autres (sous Ubuntu) pas tous sur le même AD (donc je pensais avoir compris... en fait non neutral)
flanker (./7564):
Le keytab n'est pas lisible facilement, il faut regarder ce qu'il y a dedans avec ktutil
Merci, c'est noté (encore un utilitaire CLI dont on se serait passé... ah là là, on est loin d'un truc plug'n'play).
RHJPP (./7567):
J'ai l'impression que le but n'est pas d'être authentifié par le système hôte de l'utilisateur lorsqu'il se connecte via SSH au serveur Ubuntu. J'ai l'impression que le but est de pouvoir entrer ses identifiants lors de la commande SSH pour un compte de l'annuaire avec lequel le serveur Ubuntu est associé.
pencil !
flanker (./7568):
C'est exactement ce qu'il ne faut surtout pas faire, et Kerberos a été conçu pour éviter ça. Je ne suis d'ailleurs pas sûr que SSH le permette, vu que ce n'est pas du tout ce qui est prévu par le protocole gssapi.
Ah bin c'est sûr que SSH le permet puisque ça marche pour plein d'autres machines. Mon but est que le serveur soit dans l'AD, donc soit authentifié en direct, pas indirectement par une machine d'admin.
Je sais que dans un monde parfait, on passe par une machine d'admin fiable (une machine de rebond(->Ca viendra) ou une workstation béton (==pas notre cas du tout)), mais dans l'immédiat je suis 3 niveaux en-dessous : je veux simplement pas qu'on utilise des comptes locaux, donc S authentifié par l'AD.
flanker (./7568):
Au passage, l'utilisation de bi-clefs RSA n'est-elle pas possible, tout simplement ?
Des clés SSH ? Si bien sûr que c'est possible. Mais c'est une manipulation supplémentaire dont les autres admins (moins linuesques que moi) se passeraient bien pour l'instant.