[Tech] Kerberos problem

Massimiliano Masi max@gauss.comunidelchianti.it
Ven 7 Nov 2003 10:33:10 CET 

Ciao !!!

On Fri, Nov 07, 2003 at 12:48:09AM +0100, mario wrote:
> _______________________________________________________
> 
>  il file krb5.conf ha le seguenti righe:
> 
>  [libdefaults]
>  default_realm = CDC-TORRESCALLA.IT
> 
>  [realms]
>   CDC-TORRESCALLA.IT = {
>      kdc = titan.cdc-torrescalla.it
>    }

Abbiamo un realm all'universita' e tuoi problemi possono avere mille
cause. Ti dico le mie:

C'e' l'entry SRV per il kerberos in DNS?
C'e' un pogramma che ti sincronizza la data di sistema? 
C'e' il KDC in esecuzione? 
C'e' l'entry in /etc/services?
Hanno lo stesso algoritmo di cifratura?
Non conosco AD, ma e' un krb5? O ha bisogno di ticket v4?


Perche' non metti MIT kerberos invece che active directory?
:))) Apparte l'ultima affermazione, il tutto (AFS+Krb5) mi ha
funzionato solo con l'implementazione del MIT. So che Marco Castellani
(non so se mi legge) stava studiando AFS e server Krb5 con win2000. 

Magari vediamo se ci risponde. 

Ti posto il mio krb5.conf, magari ti aiuta:

-----------------------------------------------------------------------

[libdefaults]
        default_realm = LISA.MATH.UNIFI.IT
# The following krb5.conf variables are only for MIT Kerberos.
        default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc des-cbc-md5
        default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc des-cbc-md5
permitted_enctypes = des3-hmac-sha1 des-cbc-crc des-cbc-md5
        krb4_config = /etc/krb.conf
        krb4_realms = /etc/krb.realms
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
# The following libdefaults parameters are only for Heimdal Kerberos.
        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
                plain = {
                        something = something-else
                }
        }

[realms]
LISA.MATH.UNIFI.IT = {
         kdc = lebesgue.lisa.math.unifi.it
        admin_server = lebesgue.lisa.math.unifi.it
}

ecc...

---------------------------------------------------------------------

Stai attento alla terza e alla quarta riga, leggi la documentazione di
AD.

Poi un pezzo del file di configurazione di BIND

---------------------------------------------------------------------
; per kerberos...
kerberos        IN      A       192.168.69.10
ldap            IN      A       192.168.69.10
;
; Master setup
_kerberos       IN      TXT     "LISA.MATH.UNIFI.IT"
_kerberos-master._udp   IN      SRV     0 0 88 kerberos
_kerberos-adm._tcp      IN      SRV     0 0 749 kerberos
_kpasswd._udp           IN      SRV     0 0 464 kerberos
--------------------------------------------------------------------

Dove 192.168.69.10 -> lebesgue.lisa.math.unifi.it

Se fai kinit -verbose che ti dice?





-- 
Massimiliano Masi - http://gauss.comunidelchianti.it/~max

"In un mondo di incertezza, chi la sa misurare ha la carta vincente"

Maggiori informazioni sulla lista flug-tech