[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: AW: AW: [suse-security] Samba 3.0, ADS, Kerberos



Am Dienstag, 17. Februar 2004 16:57 schrieb Christian Lange:
> Hello,
>
> the following worked fine with my Windows-ADS-2003-Servers  and my
> Linux Mailserver running SuSE 9.0 with Heimdahl Kerberos.
> Please excuse me, that i didn`t translate the extract from my
> personal-howto into english:
>
> A. auf dem Windoze 2003 Server
>
> 1.	Im AD wird ein Benutzer mit dem Account linux und dem Namen xms010
> (nicht fqdn) erzeugt. Passworteigenschaften auf ?..läuft nie ab? und
> ?... nicht bei der ersten Anmeldung ändern? setzen.
>
> 2.	Auf dem Windoze 2003 Server die Support-Tools von der Server CD
> installieren.
>
> 3.	Dos-Box. Service Principal Name erzeugen:
>
> D:\zak\Support Tools\setspn ?a host/xms010.fqdn.de xms010
>
> 4.	Erzeugen und exportieren des Keytab-files
>
> D:\zak\Support Tools\ktpass ?princ host/xms010.fqdn.de@xxxxxxx ?pass
> password ?mapuser xms010 ?out linux.keytab
>
> 5.	Das erzeugte Keytab-file auf den Linux-Server kopieren
>
>
> That was the part on the Windows-Server. Now we`re switching to our
> favorite linux-machine.
>
> 2.	Umbenennen der vom DC kopierten linux.keytab in krb5.keytab:
>
> # mv linux.keytab /etc/krb5.keytab
>
> 3.	erstellen der /etc/krb5.conf
>
> [libdefaults]
>       ticket_lifetime = 24000
> 	default_realm = FQDN.DE
> 	dns_lookup_realm = false
> 	dns_lookup_kdc = false
> 	clockskew = 300
>
> [realms]
> 	FQDN.DE = {
> 		kdc = tcp/ads_dc01.fqdn.de:88
> 		admin_server = ads_dc01.fqdn.de:749
> 		kpasswd_server = ads_dc01.fqdn.de
> 		default_domain = fqdn.de
> 	}
>
> [domain_realm]
> 	.fqdn.de = FQDN.de
> 	fqdn.de = FQDN.de
>
> [logging]
> 	default = SYSLOG:NOTICE:DAEMON
> 	kdc = FILE:/var/log/kdc.log
> 	kadmind = FILE:/var/log/kadmind.log
>
> [appdefaults]
> 	pam = {
> 		ticket_lifetime = 1d
> 		renew_lifetime = 1d
> 		forwardable = true
> 		proxiable = false
> 		retain_after_close = false
> 		minimum_uid = 0
> 		debug = false
> 		krb4_convert = false
> 	}
>
>
> ---------------------------------------------------------
>
> fqdn =^ domain.name.de
> FQDN =^ DOMAIN.NAME.DE
> ads_dc01 = Windows Active Directory Domain Controller
> xms010 = Linux Mailserver
>
>
> I don`t know wether this settings are the most sophisticated, but for
> now it works.
> I´m using a cron to get a new tg-ticket.
>
> Greetings,
>
> Chris
>
> > Ich habe verwendet:
> >
> >  kinit -t /etc/krb5.keytab \
> >  host/linuxrechner.fullqualifieddomain.org
> >
> > Ist das noch korrekt? Ich bekomme nämlich als Antwort:
> > kinit: krb5_get_init_creds: Additional pre-authentication required
> >
> > [Zu diesem Zeitpunkt habe ich ein gültiges Ticket
> > (Administrator) auf dem Linuxrechner]
> >
> > Vielleicht liegt der Fehler ja auch vorher:
> > unter W2K habe ich einen Benutzeraccount namens linux
> > angelegt, und diesen mit Adminrechten versehen.
> >
> > [Für diesen Account möchte ich nun ein keytabfile erzeugen,
> > das ich auf den linuxrechner verschiebe und dann dort verwende.]
> > ---------------
> > ktpass -princ
> > host/linuxrechner.fullqualifieddomain.org@xxxxxxxxxxxxxxxxxxxxxxx \
> >           -mapuser linux -pass  test123 -out linux.keytab
> > ----------------------
> > Als antwort bekomme ich unter Windows in etwa:
> > -----------------
> > Sucessfully mapped host/linuxrechner.fullqualifieddomain.org to \
> > 	user linux
> > Key created
> > Output to linux.keytab
> > Keytab version
> > keysize ...
> > Account has been set for DES-only encryption
> >
> > Danke für alle Hilfen!
> >
> > P.S.: Ich habe aus Versehen diese Mail in Deutsch
> > geschrieben, deswegen kriegst du sie mal zuerst, ich muss Sie
> > nachher noch umtexten für die Liste
> >
> > > A following     klist         shows your current tgt.
> > >
> > >
> > >
> > >
> > > Mit freundlichen Grüßen
> > >
> > >
> > > Chris
> > >
> > > > -----Ursprüngliche Nachricht-----
> > > > Von: Markus Feilner [mailto:lists@xxxxxxxxxxxxxx]
> > > > Gesendet: Dienstag, 17. Februar 2004 11:00
> > > > An: suse-security List
> > > > Betreff: [suse-security] Samba 3.0, ADS, Kerberos
> > > >
> > > > Hello List,
> > > > I have successfully integrated samba to an Active Directory
> > > > Domain, and it is authenticating against the ADS, but only
> > > > while the Kerberos ticket is valid. After that period it
> > > > seems to take only the user/group list from its (winbind)
> > > > cache.
> > > >
> > > > By now i can get a kerberos ticket with "kinit Administrator"
> > > > or any other username that has administrative rights on ADS
> > > > and all is fine.
> > > > But after 8 hours this ticket is no longer valid. How can I
> > > > renew or re-get an (new) ticket automatically?
> > > >
> > > > I searched many sites and found several solutions, but
> >
> > none worked.
> >
> > > > Probably the best one is about keytabs, which I could
> > > > generate on The Windows System, but kerberos does not seem to
> > > > use them.
> > > >
> > > > Most of the solutions I found are for MIT kerberos, but I use
> > > > heimdal (as of SuSE 9.0), where e.g. the hints from new
> > > > zealand's linux wiki
> > > > (http://www.wlug.org.nz/ActiveDirectorySamba) don't work.
> > > > They tell me to import the keytab file with
> > > > -----------------
> > > > % ktutil
> > > >   ktutil: rkt mail.keytab
> > > >   ktutil: list
> > > >   ktutil: wkt /etc/krb5.keytab
> > > >   ktutil: q
> > > > ------------------
> > > > But this does not work - not with ktutil and not with kadmin.
> > > > Perhaps i missed something?
> > > > Thanks a lot!!!
> > > > --
> > > > Mit freundlichen Grüßen
> > > > Markus Feilner
> > > > --
> > > > Linux Solutions, Training, Seminare und Workshops - auch
> > > > Inhouse Feilner IT Linux & GIS Erlangerstr. 2 93059 Regensburg
> > > > fon: +49 941 70 65 23  - mobil: +49 170 302 709 2
> > > > web: http://feilner-it.net mail: mfeilner@xxxxxxxxxxxxxx
> > > >
> > > > --
> > > > Check the headers for your unsubscription address
> > > > For additional commands, e-mail: suse-security-help@xxxxxxxx
> > > > Security-related bug reports go to security@xxxxxxx, not here
> >
> > --
> > Mit freundlichen Grüßen
> > Markus Feilner
> >
> > Linux Solutions, Training, Seminare und Workshops - auch Inhouse
> > Feilner IT Linux & GIS Erlangerstr. 2 93059 Regensburg
> > fon: +49 941 70 65 23  - mobil: +49 170 302 709 2
> > web: http://feilner-it.net mail: mfeilner@xxxxxxxxxxxxxx
Thanks  a lot, Chris,
I 'll try that and give feedback!
-- 
Mit freundlichen Grüßen
Markus Feilner
--
Linux Solutions, Training, Seminare und Workshops - auch Inhouse
Feilner IT Linux & GIS Erlangerstr. 2 93059 Regensburg
fon: +49 941 70 65 23  - mobil: +49 170 302 709 2 
web: http://feilner-it.net mail: mfeilner@xxxxxxxxxxxxxx

--
Check the headers for your unsubscription address
For additional commands, e-mail: suse-security-help@xxxxxxxx
Security-related bug reports go to security@xxxxxxx, not here