Project

General

Profile

Tâche #23195

Scénario #22248: SETH DC - Correction Resolv.conf et krb5.conf

Correction du fichier krb5.conf

Added by Emmanuel IHRY about 5 years ago. Updated almost 5 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Benjamin Bohard
Target version:
Distribution EOLE - Sprint 2018 11-13 Equipe PNE-SR
Start date:
11/30/2017
Due date:
% Done:

100%

Estimated time:
4.00 h
Spent time:
2.00 h
Remaining (hours):
0.0

Related issues

Related to Distribution EOLE - Tâche #23788: Mise à niveau du fichier krb5.conf généré Fermé 04/27/2018

Associated revisions

Revision cc9b61de (diff)
Added by Benjamin Bohard almost 5 years ago

Mise à jour de la configuration kerberos.

Ref #23195

Revision cbbec04c (diff)
Added by Benjamin Bohard almost 5 years ago

Remplacer le template krb5.conf de samba par celui d’EOLE.

Au provisionnement, Samba utilise un template de son cru pour la configuration
de kerberos. Il faut que ce template soit similaire à celui mis en place
sur /etc/krb5.conf.

Ref #23195

History

#1 Updated by Emmanuel IHRY about 5 years ago

  • Subject changed from Évolution de krb5.conf to Évolution du fichier krb5.conf

#2 Updated by Emmanuel IHRY about 5 years ago

fichier krb5.conf est présent deux fois sur le serveur

Le fichier de configuration Kerberos est sous /etc et Samba a également un fichier de configuration krb5 sous /var/lib/samba/private/krb5.conf

Le fichier généré par EOLE est celui de /etc :
./dicos/25_smb_ad.xml: <file filelist='ad-files' name='/etc/krb5.conf' mkdir='True' rm='True'/>

Tranquil IT préconise de ne conserver que celui de /etc et de faire un lien symbolique vers le second :

rm /var/lib/samba/private/krb5.conf
ln -s /etc/krb5.conf /var/lib/samba/private/krb5.conf

Cette doc https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory_Domain_Controller confirme ça, et avec samba 4.7, il faut créer le lien symbolique tel que le propose TIS et non pas dans l'autre sens :

Do not create a symbolic link to the the generated krb5.conf file. In Samba 4.7 and later, the /usr/local/samba/private/ directory is no longer accessible by other users than the root user. If the file is a symbolic link, other users are not able to read the file and, for example, dynamic DNS updates fail if you use the BIND_DLZ DNS back end.

Évolution du contenu de fichier

voilà ce que préconise TIS https://dev.tranquil.it/wiki/SAMBA_-_Installation_samba4_comme_DC_secondaire

[libdefaults]
default_realm = MONDOMAINE.LAN
dns_lookup_kdc = false --> dans eole à TRUE
dns_lookup_realm=false--> dans eole à TRUE

[realms]
MONDOMAINE.LAN = {
kdc = IP du serveur lui-même (adresse_ip_eth0)
kdc = IP %%ad_dc_sysvol_ref --> en deuxième position, présence de cette ligne sur les DC additionnels uniquement (ad_additionel_dc=oui), on fait référence au controleur primaire du domaine
kdc = IP %%ad_additional_dc_ip --> ensuite, référence aux serveurs cités dans cette variable, sachant que cette variable n'a pas vocation à décrire tous les serveurs du domaine (voir #23196)

}

[domain_realms]
.mondomaine.lan = MONDOMAINE.LAN
mondomaine.lan = MONDOMAINE.LAN

voir aussi https://www.daemon-systems.org/man/krb5.conf.5.html

#3 Updated by Emmanuel IHRY about 5 years ago

  • Estimated time set to 4.00 h
  • Remaining (hours) set to 4.0

#4 Updated by Emmanuel IHRY about 5 years ago

  • Subject changed from Évolution du fichier krb5.conf to Correction du fichier krb5.conf

#5 Updated by Emmanuel IHRY about 5 years ago

  • Assigned To changed from force bleue to Benjamin Bohard

#6 Updated by Benjamin Bohard almost 5 years ago

  • Status changed from Nouveau to En cours

#7 Updated by Benjamin Bohard almost 5 years ago

  • Status changed from En cours to Résolu

#8 Updated by Emmanuel IHRY almost 5 years ago

Il manque l’exécution de ces deux instructions

rm /var/lib/samba/private/krb5.conf
ln -s /etc/krb5.conf /var/lib/samba/private/krb5.conf

Car le fichier /var/lib/samba/private/krb5.conf soit être identique à celui /etc/krb5.conf

#9 Updated by Emmanuel IHRY almost 5 years ago

  • Status changed from Résolu to En cours

#10 Updated by Emmanuel IHRY almost 5 years ago

En fait le process EOLE copie le fichier aux deux endroits --> OK

Cependant, le fichier n'est pas copié dans /var/lib/samba/private/ lors de l'instance

#11 Updated by Benjamin Bohard almost 5 years ago

  • Status changed from En cours to Résolu
  • % Done changed from 0 to 100
  • Remaining (hours) changed from 4.0 to 0.25

Le fichier est bien copié. Cependant, lors du provisionnement, Samba l’écrase par sa propre version.
Cette version est maintenant également remplacée par le template.

#12 Updated by Emmanuel IHRY almost 5 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 0.25 to 0.0

Ok avec le paquet .47
les deux fichiers sont identiques dès l'instance

#13 Updated by Joël Cuissinat almost 5 years ago

  • Related to Tâche #23788: Mise à niveau du fichier krb5.conf généré added

Also available in: Atom PDF