[MEGOLDVA] pam + kerberos hogyan?

Fórumok

Üdv mindenkinek!

Szeretnék egy linuxos gépet authentikáció szintjén integrálni egy windows tartományba.Most ott tartok, hogy a szükséges file hibamentesen legenerálva a tartományvezérlőn...


Ktpass -princ host/myserver.mydomain.hu@MYDOMAIN.HU -mapuser myserver -pass mypass -out myserver.keytab -crypto des-cbc-crc -desonly -ptype KRB5_NT_PRINCIPAL -rndpass

... majd hozzáadva a /etc/krb5.keytab fájlhoz.


$ ktutil
> rkt myserver.keytab
> list
> wkt /etc/krb5.keytab
> q
$

Az ellenőrzés is hibamentes...


$
$ kinit administrator
$

... visszakapom a promptot, nincs hibaüzenet.

Ezek után a /usr/share/doc/libpam-krb5/README.Debian szerint elvégzem a szükséges módosításokat.

/etc/pam.d/common-account


account    required      pam_krb5.so minimum_uid=1000
account    required      pam_unix.so

/etc/pam.d/common-auth


auth       sufficient    pam_krb5.so minimum_uid=1000
auth       required      pam_unix.so try_first_pass nullok_secure

/etc/pam.d/common-password


password   sufficient    pam_krb5.so minimum_uid=1000
password   required      pam_unix.so nullok obscure min=4 max=8 md5

/etc/pam.d/common-session


session    optional      pam_krb5.so minimum_uid=1000
session    required      pam_unix.so

Ezek után ha megpróbálok SSH-n keresztül bejelentkezni akkor a művelet sikertelen.


Sep 15 09:24:20 myserver sshd[15506]: Invalid user administrator from 92.121.61.127
Sep 15 09:24:20 myserver sshd[15506]: Failed none for invalid user administrator from 92.121.61.127 port 33504 ssh2
Sep 15 09:24:25 myserver sshd[15506]: (pam_krb5): none: pam_sm_authenticate: entry (0x1)
Sep 15 09:24:25 myserver sshd[15506]: (pam_krb5): administrator: krb5_get_init_creds_password: Preauthentication failed
Sep 15 09:24:25 myserver sshd[15506]: (pam_krb5): administrator: pam_sm_authenticate: exit (failure)
Sep 15 09:24:25 myserver sshd[15506]: (pam_unix) check pass; user unknown
Sep 15 09:24:25 myserver sshd[15506]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=proba.hu
Sep 15 09:24:27 myserver sshd[15506]: Failed password for invalid user administrator from 92.121.61.127 port 33504 ssh2

Mit rontok el?
Kell még valami ezeken a beállításokon kívül?

A válaszokat előre is köszönöm.

Hozzászólások

Kene a keytab file tartalma (klist -t /etc/krb5.keytab asszem).

A krb5.conf-ban megadtad, hogy a kdc az a windowsos gep es nem te vagy? Kene a krb5.conf tartalma...

Vigyazz, nem KDC-t kell epitened, elvben meg kadmin szerverre sincs szukseged, mert ezeket a funkciokat a windows nyujtja.
--


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

/etc/krb5.conf


[libdefaults]
    default_realm = MYDOMAIN.HU
    default_tkt_enctypes = des-cbc-md5
    default_tgs_enctypes = des-cbc-md5
    dns_lookup_realm = true
    dns_lookup_kdc = true

    krb4_config = /etc/krb.conf
    krb4_realms = /etc/krb.realms
    kdc_timesync = 1
    ccache_type = 4
    forwardable = true
    proxiable = true

[realms]
    MYDOMAIN.HU  = {
    kdc = ad.mydomain.hu:88
    admin_server = ad.mydomain.hu
    default_domain = mydomain.hu
}

[domain_realm]
    .mydomain.hu = MYDOMAIN
    mydomain.hu = MYDOMAIN

[kdc]
    profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
    pam = {
        debug = true
        ticket_lifetime = 36000
        renew_lifetime = 36000
        forwardable = true
        krb4_convert = false
 }

[logging]
    default = FILE:/var/log/krb5def.log
    kinit = FILE:/var/log/krb5ini.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/krb5adm.log

[login]
    krb4_convert = true
    krb4_get_tickets = false

Az ad.mydomain.hu gép a windows tartományvezérlő.

krb5.keytab


myserver:~# klist -tk
Keytab name: FILE:/etc/krb5.keytab
KVNO Timestamp         Principal
---- ----------------- --------------------------------------------------------
  23 09/12/08 19:31:28 host/myserver.mydomain.hu@MYDOMAIN.HU
myserver:~#

--
maszili

Végül a megoldás az lett, hogy kiegészítettem a PAM konfigját egy hiányzó sorral...

/etc/pam.d/common-auth


auth    sufficient      pam_winbind.so

Így pl. az SSH sikeresen végez felhasználó azonosítást a windows tartományból a PAM segítségével.

--
maszili