[Tech] Kerberos problem

Massimiliano Masi max@gauss.comunidelchianti.it
Sab 8 Nov 2003 02:21:48 CET 

Ciao !!!

On Fri, Nov 07, 2003 at 10:12:45PM +0100, mario wrote:
> Ciao!
> Innanzi tutto gazie mille per la risposta,

Figurati !!! :))) 

Ci sta che dica delle cose stupide, ho molto sonno ... cmq:


> [mario@calypso mario]$ kinit
> Password for mario@CDC-TORRESCALLA.IT:

E qui sembra andare bene... Prendi il biglietto di kerberosV. Ok.

> [mario@calypso mario]$ klist
> Ticket cache: FILE:/tmp/krb5cc_10000
> Default principal: mario@CDC-TORRESCALLA.IT
> 
> Valid starting     Expires            Service principal
> 11/07/03 21:57:36  11/08/03 07:57:23
> krbtgt/CDC-TORRESCALLA.IT@CDC-TORRESCALLA.IT
> 
> 
> Kerberos 4 ticket cache: /tmp/tkt10000
> klist: You have no tickets cached

E fin qui ancora bene. Riesci a prendere bene i ticket. 
Magari il nome del file e' un po' troppo "regolare". krb5cc_10000
.... boh, non saprei, comunque, sembra che fin qui sia tutto apposto. 

> [mario@calypso mario]$ kinit mario@cdc-torrescalla.it
> kinit(v5): Cannot find KDC for requested realm while getting initial
> credentials
> [mario@calypso mario]$ kinit mario@cdc-torrescalla.it -v
> kinit(v5): Matching credential not found while validating credentials

E giustamente !!! Il protocollo e' case-sensitive, non esiste il realm
cdc-torrescalla.it, ma CDC-TORRESCALLA.IT, almeno dai file di conf che
hai postato.

> Ora, come vedi funziona solo se non metto @cdc-torrescalla.it (che è il mio
> nome di dominio e di realm) Perché???

Magari e' il tuo nome di dominio. Non di realm. Quello lo hai messo
maiuscolo, ricordi? 

> Cmq sembrerebbe funzionare, devo provare a vedere se effettivamente riesco
> ad usare una applicazione che si autentica così :)

Prova ktelnet. O Postgres, a quest'ora sono le prime applicazioni che
mi vengono in mente. Se poi vuoi fare qualcosa di veramente carino,
prova openafs.org (che e' tanta roba rispetto ad AD); :)

> > C'e' l'entry SRV per il kerberos in DNS?
> Ecco, non ho capito molto bene come nemmeno come verificare (si sono proprio
> un newbbo :)
> Ho provato con nslookup o dig ma non li so usare bene

Allora. Guarda nel tuo named.conf i file di configurazione della tua
zona. Solitamente dovresti vedere nel file chiamato
cdc-torrescalla.it. Leggi il DNS-HOWTO.

Io non ci ho mai capito niente con i tool della redhat, quindi non ti
so aiutare graficamente. 


> $ kinit -4
> Password for mario@EXAMPLE.COM   (Si proprio così non appare il nome di
> dominio corretto NdA)
> kinit(v4): Can't send request (send_to_kdc)

Hai lasciato i file di configurazione di KerberosIV intatti, come di
default. Quindi molto probabilmente hai il protocollo V (che e' piu'
logico). Lascia perdere il IV. 


Secondo me ti funziona gia' tutto ... :)

Magari per rendere un po' piu' sicura la tua rete leggi le KerberosFAQ
su web.mit.edu/kerberos.



-- 
Massimiliano Masi - http://gauss.comunidelchianti.it/~max

"In un mondo di incertezza, chi la sa misurare ha la carta vincente"

Maggiori informazioni sulla lista flug-tech