[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

AW: AW: [suse-security] Samba 3.0, ADS, Kerberos



Hello,

the following worked fine with my Windows-ADS-2003-Servers  and my Linux
Mailserver running SuSE 9.0 with Heimdahl Kerberos.
Please excuse me, that i didn`t translate the extract from my personal-howto
into english:

A. auf dem Windoze 2003 Server

1.	Im AD wird ein Benutzer mit dem Account linux und dem Namen xms010
(nicht fqdn) erzeugt. Passworteigenschaften auf ?..läuft nie ab? und ?...
nicht bei der ersten Anmeldung ändern? setzen.

2.	Auf dem Windoze 2003 Server die Support-Tools von der Server CD
installieren. 

3.	Dos-Box. Service Principal Name erzeugen:

D:\zak\Support Tools\setspn ?a host/xms010.fqdn.de xms010

4.	Erzeugen und exportieren des Keytab-files

D:\zak\Support Tools\ktpass ?princ host/xms010.fqdn.de@xxxxxxx ?pass
password ?mapuser xms010 ?out linux.keytab

5.	Das erzeugte Keytab-file auf den Linux-Server kopieren


That was the part on the Windows-Server. Now we`re switching to our favorite
linux-machine.

2.	Umbenennen der vom DC kopierten linux.keytab in krb5.keytab:

# mv linux.keytab /etc/krb5.keytab

3.	erstellen der /etc/krb5.conf

[libdefaults]
      ticket_lifetime = 24000
	default_realm = FQDN.DE
	dns_lookup_realm = false
	dns_lookup_kdc = false
	clockskew = 300
	
[realms]
	FQDN.DE = {
		kdc = tcp/ads_dc01.fqdn.de:88
		admin_server = ads_dc01.fqdn.de:749
		kpasswd_server = ads_dc01.fqdn.de
		default_domain = fqdn.de
	}

[domain_realm]
	.fqdn.de = FQDN.de
	fqdn.de = FQDN.de

[logging]
	default = SYSLOG:NOTICE:DAEMON
	kdc = FILE:/var/log/kdc.log
	kadmind = FILE:/var/log/kadmind.log

[appdefaults]
	pam = {
		ticket_lifetime = 1d
		renew_lifetime = 1d
		forwardable = true
		proxiable = false
		retain_after_close = false
		minimum_uid = 0
		debug = false
		krb4_convert = false
	}
 

---------------------------------------------------------

fqdn =^ domain.name.de
FQDN =^ DOMAIN.NAME.DE
ads_dc01 = Windows Active Directory Domain Controller
xms010 = Linux Mailserver


I don`t know wether this settings are the most sophisticated, but for now it
works.
I´m using a cron to get a new tg-ticket. 

Greetings,

Chris





> Ich habe verwendet: 
> 
>  kinit -t /etc/krb5.keytab \
>  host/linuxrechner.fullqualifieddomain.org
> 
> Ist das noch korrekt? Ich bekomme nämlich als Antwort:
> kinit: krb5_get_init_creds: Additional pre-authentication required
> 
> [Zu diesem Zeitpunkt habe ich ein gültiges Ticket 
> (Administrator) auf dem Linuxrechner]
> 
> Vielleicht liegt der Fehler ja auch vorher:
> unter W2K habe ich einen Benutzeraccount namens linux 
> angelegt, und diesen mit Adminrechten versehen.
> 
> [Für diesen Account möchte ich nun ein keytabfile erzeugen, 
> das ich auf den linuxrechner verschiebe und dann dort verwende.]
> ---------------
> ktpass -princ
> host/linuxrechner.fullqualifieddomain.org@xxxxxxxxxxxxxxxxxxxxxxx \
>           -mapuser linux -pass  test123 -out linux.keytab
> ----------------------
> Als antwort bekomme ich unter Windows in etwa:
> -----------------
> Sucessfully mapped host/linuxrechner.fullqualifieddomain.org to \
> 	user linux
> Key created
> Output to linux.keytab
> Keytab version
> keysize ...
> Account has been set for DES-only encryption
> 
> Danke für alle Hilfen!
> 
> P.S.: Ich habe aus Versehen diese Mail in Deutsch 
> geschrieben, deswegen kriegst du sie mal zuerst, ich muss Sie 
> nachher noch umtexten für die Liste
> 
> >
> > A following     klist         shows your current tgt.
> >
> >
> >
> >
> > Mit freundlichen Grüßen
> >
> >
> > Chris
> >
> > > -----Ursprüngliche Nachricht-----
> > > Von: Markus Feilner [mailto:lists@xxxxxxxxxxxxxx]
> > > Gesendet: Dienstag, 17. Februar 2004 11:00
> > > An: suse-security List
> > > Betreff: [suse-security] Samba 3.0, ADS, Kerberos
> > >
> > > Hello List,
> > > I have successfully integrated samba to an Active Directory
> > > Domain, and it is authenticating against the ADS, but only
> > > while the Kerberos ticket is valid. After that period it
> > > seems to take only the user/group list from its (winbind) cache.
> > >
> > > By now i can get a kerberos ticket with "kinit Administrator"
> > > or any other username that has administrative rights on ADS
> > > and all is fine.
> > > But after 8 hours this ticket is no longer valid. How can I
> > > renew or re-get an (new) ticket automatically?
> > >
> > > I searched many sites and found several solutions, but 
> none worked.
> > > Probably the best one is about keytabs, which I could
> > > generate on The Windows System, but kerberos does not seem to
> > > use them.
> > >
> > > Most of the solutions I found are for MIT kerberos, but I use
> > > heimdal (as of SuSE 9.0), where e.g. the hints from new
> > > zealand's linux wiki
> > > (http://www.wlug.org.nz/ActiveDirectorySamba) don't work.
> > > They tell me to import the keytab file with
> > > -----------------
> > > % ktutil
> > >   ktutil: rkt mail.keytab
> > >   ktutil: list
> > >   ktutil: wkt /etc/krb5.keytab
> > >   ktutil: q
> > > ------------------
> > > But this does not work - not with ktutil and not with kadmin.
> > > Perhaps i missed something?
> > > Thanks a lot!!!
> > > --
> > > Mit freundlichen Grüßen
> > > Markus Feilner
> > > --
> > > Linux Solutions, Training, Seminare und Workshops - auch
> > > Inhouse Feilner IT Linux & GIS Erlangerstr. 2 93059 Regensburg
> > > fon: +49 941 70 65 23  - mobil: +49 170 302 709 2
> > > web: http://feilner-it.net mail: mfeilner@xxxxxxxxxxxxxx
> > >
> > > --
> > > Check the headers for your unsubscription address
> > > For additional commands, e-mail: suse-security-help@xxxxxxxx
> > > Security-related bug reports go to security@xxxxxxx, not here
> 
> -- 
> Mit freundlichen Grüßen
> Markus Feilner
> 
> Linux Solutions, Training, Seminare und Workshops - auch Inhouse
> Feilner IT Linux & GIS Erlangerstr. 2 93059 Regensburg
> fon: +49 941 70 65 23  - mobil: +49 170 302 709 2 
> web: http://feilner-it.net mail: mfeilner@xxxxxxxxxxxxxx
> 


--
Check the headers for your unsubscription address
For additional commands, e-mail: suse-security-help@xxxxxxxx
Security-related bug reports go to security@xxxxxxx, not here