[Tech] Kerberos problem

mario maillst@katamail.com
Ven 7 Nov 2003 22:12:45 CET 

Ciao!
Innanzi tutto gazie mille per la risposta,
ho guardato meglio il problema e ho notato un comportamento curioso:
ti riporto una sessione tipo a terminale:
_________________________________________________________________________
[mario@calypso mario]$ kinit
Password for mario@CDC-TORRESCALLA.IT:
[mario@calypso mario]$ klist
Ticket cache: FILE:/tmp/krb5cc_10000
Default principal: mario@CDC-TORRESCALLA.IT

Valid starting     Expires            Service principal
11/07/03 21:57:36  11/08/03 07:57:23
krbtgt/CDC-TORRESCALLA.IT@CDC-TORRESCALLA.IT


Kerberos 4 ticket cache: /tmp/tkt10000
klist: You have no tickets cached
[mario@calypso mario]$ kinit mario@cdc-torrescalla.it
kinit(v5): Cannot find KDC for requested realm while getting initial
credentials
[mario@calypso mario]$ kinit mario@cdc-torrescalla.it -v
kinit(v5): Matching credential not found while validating credentials
____________________________________________________________________________
___

Ora, come vedi funziona solo se non metto @cdc-torrescalla.it (che è il mio
nome di dominio e di realm) Perché???
Cmq sembrerebbe funzionare, devo provare a vedere se effettivamente riesco
ad usare una applicazione che si autentica così :)

> C'e' l'entry SRV per il kerberos in DNS?
Ecco, non ho capito molto bene come nemmeno come verificare (si sono proprio
un newbbo :)
Ho provato con nslookup o dig ma non li so usare bene

In particolare, per quanto riguarda il dns:

> kerberos        IN      A       192.168.69.10
> ldap            IN      A       192.168.69.10
> ;
> ; Master setup
> _kerberos       IN      TXT     "LISA.MATH.UNIFI.IT"
> _kerberos-master._udp   IN      SRV     0 0 88 kerberos
> _kerberos-adm._tcp      IN      SRV     0 0 749 kerberos
> _kpasswd._udp           IN      SRV     0 0 464 kerberos

Deve esserci una entry per il pdc oppure proprio per kerberos e ldap?
e si mettono in named.conf, named.custom o dove?

> Hanno lo stesso algoritmo di cifratura?
> Non conosco AD, ma e' un krb5? O ha bisogno di ticket v4?
Non mi era venuto il dubbio visto che gli howto consigliavano krb5 ma in
effetti,
dalla sessione console che ti ho postato non è chiarissimo, allora ho
scritto:

$ kinit -4
Password for mario@EXAMPLE.COM   (Si proprio così non appare il nome di
dominio corretto NdA)
kinit(v4): Can't send request (send_to_kdc)


Per cui ho non è configurato bene o non è supportato

Grazie mille, vi tengo informati
Mario

Maggiori informazioni sulla lista flug-tech