Project

General

Profile

Tâche #24382

Scénario #26447: Traitement express MEN (5-7)

Documentation erronée pour l'utilisation du keytab

Added by Emmanuel GARETTE about 6 years ago. Updated over 5 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
06/29/2018
Due date:
% Done:

100%

Remaining (hours):
0.0

Description

__Dans la documentation :

http://eole.ac-dijon.fr/documentations/2.6/completes/HTML/ModuleSeth/co/55_GestionCommande.html

Il est indiqué de faire :

kinit Administrator@AC-TEST.FR -k -t /var/lib/samba/eole-ad-dc.keytab

Sauf que ce keytab contient le keytab du compte machine et non celui de l'utilisateur

Il faudrait plutôt expliquer comment extraire le keytab et l'utiliser :

root@dc1:~# samba-tool domain exportkeytab ~/admin.keytab --principal=Administrator@AC-TEST.FR
Export one principal to admin.keytab
root@dc1:~# kinit Administrator@AC-TEST.FR -k -t ~/admin.keytab 
root@dc1:~# samba-tool dns add dc1.ac-test.fr ac-test.fr mac10 A 192.168.0.10 -k 1
Record added successfully
[..]
root@dc1:~# kdestroy
root@dc1:~# rm -f ~/admin.keytab 
root@dc1:~# 

TODO : se renseigner sur les droits exacts d'un compte "machine" car ils sont plus limités/différents :o

Cet article (en anglais) explique plutôt bien qu'est ce qu'un keytab : https://social.technet.microsoft.com/wiki/contents/articles/36470.kerberos-keytabs-explained.aspx

History

#1 Updated by Joël Cuissinat about 6 years ago

  • Subject changed from Documentation erroné pour l'utilisation du keytab to Documentation erronée pour l'utilisation du keytab
  • Description updated (diff)

#2 Updated by Joël Cuissinat about 6 years ago

  • Description updated (diff)

#3 Updated by Joël Cuissinat about 6 years ago

Je ne sais pas si cela doit être précisé dans la doc (NB : il est plus prudent que l'utilisateur génère son propre keytab et le supprime à la fin) mais au début l'instance stockait effectivement un keytab pour Administrator dans /var/lib/samba/eole-ad-dc.keytab.

Suite au signalement #21399, le code a été modifié et c'est le keytab du compte machine du serveur qui est désormais stocké dans ce même fichier !

Dans le conteneur addc d'un "aca.scribead", la commande suivante permet de le vérifier (pas d'erreur) :

kinit ADDC@AC-TEST.FR -k -t /var/lib/samba/eole-ad-dc.keytab

#5 Updated by Joël Cuissinat over 5 years ago

  • Assigned To set to Joël Cuissinat
  • Parent task set to #26447

#6 Updated by Joël Cuissinat over 5 years ago

  • Status changed from Nouveau to En cours
  • % Done changed from 0 to 100

Mis à jour en 2.6, à recopier en 2.7 après relecture.

#7 Updated by Joël Cuissinat over 5 years ago

  • Status changed from En cours to Résolu

#8 Updated by Gérald Schwartzmann over 5 years ago

  • Description updated (diff)

#10 Updated by Gérald Schwartzmann over 5 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) set to 0.0

Also available in: Atom PDF