Projet

Général

Profil

Tâche #23195

Scénario #22248: SETH DC - Correction Resolv.conf et krb5.conf

Correction du fichier krb5.conf

Ajouté par Emmanuel IHRY il y a environ 6 ans. Mis à jour il y a environ 6 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Benjamin Bohard
Version cible:
Distribution EOLE - Sprint 2018 11-13 Equipe PNE-SR
Début:
30/11/2017
Echéance:
% réalisé:

100%

Temps estimé:
4.00 h
Temps passé:
2.00 h
Restant à faire (heures):
0.0

Demandes liées

Lié à Distribution EOLE - Tâche #23788: Mise à niveau du fichier krb5.conf généré Fermé 27/04/2018

Révisions associées

Révision cc9b61de (diff)
Ajouté par Benjamin Bohard il y a environ 6 ans

Mise à jour de la configuration kerberos.

Ref #23195

Révision cbbec04c (diff)
Ajouté par Benjamin Bohard il y a environ 6 ans

Remplacer le template krb5.conf de samba par celui d’EOLE.

Au provisionnement, Samba utilise un template de son cru pour la configuration
de kerberos. Il faut que ce template soit similaire à celui mis en place
sur /etc/krb5.conf.

Ref #23195

Historique

#1 Mis à jour par Emmanuel IHRY il y a environ 6 ans

  • Sujet changé de Évolution de krb5.conf à Évolution du fichier krb5.conf

#2 Mis à jour par Emmanuel IHRY il y a environ 6 ans

fichier krb5.conf est présent deux fois sur le serveur

Le fichier de configuration Kerberos est sous /etc et Samba a également un fichier de configuration krb5 sous /var/lib/samba/private/krb5.conf

Le fichier généré par EOLE est celui de /etc :
./dicos/25_smb_ad.xml: <file filelist='ad-files' name='/etc/krb5.conf' mkdir='True' rm='True'/>

Tranquil IT préconise de ne conserver que celui de /etc et de faire un lien symbolique vers le second :

rm /var/lib/samba/private/krb5.conf
ln -s /etc/krb5.conf /var/lib/samba/private/krb5.conf

Cette doc https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory_Domain_Controller confirme ça, et avec samba 4.7, il faut créer le lien symbolique tel que le propose TIS et non pas dans l'autre sens :

Do not create a symbolic link to the the generated krb5.conf file. In Samba 4.7 and later, the /usr/local/samba/private/ directory is no longer accessible by other users than the root user. If the file is a symbolic link, other users are not able to read the file and, for example, dynamic DNS updates fail if you use the BIND_DLZ DNS back end.

Évolution du contenu de fichier

voilà ce que préconise TIS https://dev.tranquil.it/wiki/SAMBA_-_Installation_samba4_comme_DC_secondaire

[libdefaults]
default_realm = MONDOMAINE.LAN
dns_lookup_kdc = false --> dans eole à TRUE
dns_lookup_realm=false--> dans eole à TRUE

[realms]
MONDOMAINE.LAN = {
kdc = IP du serveur lui-même (adresse_ip_eth0)
kdc = IP %%ad_dc_sysvol_ref --> en deuxième position, présence de cette ligne sur les DC additionnels uniquement (ad_additionel_dc=oui), on fait référence au controleur primaire du domaine
kdc = IP %%ad_additional_dc_ip --> ensuite, référence aux serveurs cités dans cette variable, sachant que cette variable n'a pas vocation à décrire tous les serveurs du domaine (voir #23196)

}

[domain_realms]
.mondomaine.lan = MONDOMAINE.LAN
mondomaine.lan = MONDOMAINE.LAN

voir aussi https://www.daemon-systems.org/man/krb5.conf.5.html

#3 Mis à jour par Emmanuel IHRY il y a environ 6 ans

  • Temps estimé mis à 4.00 h
  • Restant à faire (heures) mis à 4.0

#4 Mis à jour par Emmanuel IHRY il y a environ 6 ans

  • Sujet changé de Évolution du fichier krb5.conf à Correction du fichier krb5.conf

#5 Mis à jour par Emmanuel IHRY il y a environ 6 ans

  • Assigné à changé de force bleue à Benjamin Bohard

#6 Mis à jour par Benjamin Bohard il y a environ 6 ans

  • Statut changé de Nouveau à En cours

#7 Mis à jour par Benjamin Bohard il y a environ 6 ans

  • Statut changé de En cours à Résolu

#8 Mis à jour par Emmanuel IHRY il y a environ 6 ans

Il manque l’exécution de ces deux instructions

rm /var/lib/samba/private/krb5.conf
ln -s /etc/krb5.conf /var/lib/samba/private/krb5.conf

Car le fichier /var/lib/samba/private/krb5.conf soit être identique à celui /etc/krb5.conf

#9 Mis à jour par Emmanuel IHRY il y a environ 6 ans

  • Statut changé de Résolu à En cours

#10 Mis à jour par Emmanuel IHRY il y a environ 6 ans

En fait le process EOLE copie le fichier aux deux endroits --> OK

Cependant, le fichier n'est pas copié dans /var/lib/samba/private/ lors de l'instance

#11 Mis à jour par Benjamin Bohard il y a environ 6 ans

  • Statut changé de En cours à Résolu
  • % réalisé changé de 0 à 100
  • Restant à faire (heures) changé de 4.0 à 0.25

Le fichier est bien copié. Cependant, lors du provisionnement, Samba l’écrase par sa propre version.
Cette version est maintenant également remplacée par le template.

#12 Mis à jour par Emmanuel IHRY il y a environ 6 ans

  • Statut changé de Résolu à Fermé
  • Restant à faire (heures) changé de 0.25 à 0.0

Ok avec le paquet .47
les deux fichiers sont identiques dès l'instance

#13 Mis à jour par Joël Cuissinat il y a presque 6 ans

  • Lié à Tâche #23788: Mise à niveau du fichier krb5.conf généré ajouté

Formats disponibles : Atom PDF