redangel (./7550) :Tu ne peux pas réinstaller ces packages avec les fichiers de configuration par défaut ?
Ca existe un outil qui nettoie pam/nss/kerberos/ldap/smb ?
Nil (./7552):Je cherche comment !
Tu ne peux pas réinstaller ces packages avec les fichiers de configuration par défaut ?
Godzil (./7553):Ca le dit par moment au milieu des messages, mais ça va tellement vite...
Ca n'ecrase que tres rarement les fichiers modifés.
flanker (./7554):-get est déprécié () mais oui, c'est ce que j'ai fait. Sur krb5* et sssd*, mais ça suffit pas.
apt-get purge au lieu de remove ?
Godzil (./7555):Je suis plus à ça près xD
Très risqué mais a tester
Godzil (./7555) :bah pour tout ce qui contient krb…
Très risqué mais a tester
Je suis pas sur que purger PAM soit une tres bonne idée
(désinstaller non plus ceci dit)
flanker (./7558):Bien que j'ai vu mention de ces 2 "technos" (??) sur les divers liens visités, tu me parles quand même chinois Je ne sais pas, moi, je chercher juste à m'authentifier à partir d'un AD 2012. Tout est possible.
au fait, Heimdal ou MIT ? Je ne sais pas si les deux sont compatibles AD.
Lionel Debroux (./7559):Je peux peut-être fouiller du côté de FreeIPA alors. J'utilisais beaucoup RH/CentOS dans mon boulot d'avant, je peux à peu près transposer certaines connaissances sur Ubuntu Server.
FreeIPA, qui tire plein de dépendances dont SSSD, pour monter une CA et l'auth Kerberos + LDAP
flanker (./7560):Merci pour ta question Pas de session GUI, c'est un Ubuntu Server sans autre chose que du CLI.
accessoirement, que veux-tu faire exactement ?
- que l'utilisateur s'authentifie en AD mode Kerberos pour sa session Gnome/KDE ? si oui, en mdp ou en PKCS11 ?
flanker (./7560):Nope.
- que l'utilisateur ouvre un partage réseau Samba kerberisé ?
flanker (./7560):Non plus (enfin sauf si c'est nécessaire à l'authentification et oui, ça l'est pour définir quel groupe AD a droit d'être sudoer, mais ça c'est bon je sais où c'est (==visudo)).
- que l'utilisateur récupère ses infos depuis l'AD mode LDAP ?
flanker (./7560):Oui je me suis assuré que nos AD sont synchros avec un NTP (que j'ai installé moi-même), et la machine Ubuntu server en question est bien synchro avec le DC primaire de l'ad.
Sinon, question bête et méchante : les machines sont-elles à l'heure ? Si tu n'as pas de ntp sur le réseau, oublie Kerberos ^^
flanker (./7560):J'ai fait 2 ou 3 fois (vu sur certains articles de troubleshoot), c'est... verbeux J'ai pu voir une fois mention d'un fichier utile, sinon c'est que du fichier temporaire (ai-je l'impression).
lancer strace pour voir les soucis.
J'ai l'impression que le but est de pouvoir entrer ses identifiants lors de la commande SSH pour un compte de l'annuaire avec lequel le serveur Ubuntu est associé.C'est exactement ce qu'il ne faut surtout pas faire, et Kerberos a été conçu pour éviter ça. Je ne suis d'ailleurs pas sûr que SSH le permette, vu que ce n'est pas du tout ce qui est prévu par le protocole gssapi.
Folco (./7565) :Je ne connais rien à WindowsC’est un système d’exploitation de la société américaine Microsoft.
(et ça se dit docteur en informatique )
flanker (./7564):Alors je suis désolé, mais ton "tu DOIS" est faux. J'imagine que c'est ta casquette de sécurité qui parle, et que tu voulais écrire "tu DEVRAIS"
Tu *dois* être authentifié en Kerberos sur A (ça tombe bien, l'authentification AD sur un Windows récent fait du Kerberos), sur le même AD (ou sur un AD du même domaine) que S.
flanker (./7564):Merci, c'est noté (encore un utilitaire CLI dont on se serait passé... ah là là, on est loin d'un truc plug'n'play).
Le keytab n'est pas lisible facilement, il faut regarder ce qu'il y a dedans avec ktutil
RHJPP (./7567):!
J'ai l'impression que le but n'est pas d'être authentifié par le système hôte de l'utilisateur lorsqu'il se connecte via SSH au serveur Ubuntu. J'ai l'impression que le but est de pouvoir entrer ses identifiants lors de la commande SSH pour un compte de l'annuaire avec lequel le serveur Ubuntu est associé.
flanker (./7568):Ah bin c'est sûr que SSH le permet puisque ça marche pour plein d'autres machines. Mon but est que le serveur soit dans l'AD, donc soit authentifié en direct, pas indirectement par une machine d'admin.
C'est exactement ce qu'il ne faut surtout pas faire, et Kerberos a été conçu pour éviter ça. Je ne suis d'ailleurs pas sûr que SSH le permette, vu que ce n'est pas du tout ce qui est prévu par le protocole gssapi.
flanker (./7568):Des clés SSH ? Si bien sûr que c'est possible. Mais c'est une manipulation supplémentaire dont les autres admins (moins linuesques que moi) se passeraient bien pour l'instant.
Au passage, l'utilisation de bi-clefs RSA n'est-elle pas possible, tout simplement ?
adm.BLBLBLA@TRUC-ci05:~$ klistCa te paraît pas être du kerberos ?
Ticket cache: FILE:/tmp/krb5cc_62402728_D7ksT4
Default principal: adm.BLBLBLA@CORPO.LOCAL
Valid starting Expires Service principal
01/01/1970 00:00:00 01/01/1970 00:00:00 krbtgt/CORPO.LOCAL@CORPO.LOCAL