Projet

Général

Profil

Tâche #24382

Scénario #26447: Traitement express MEN (5-7)

Documentation erronée pour l'utilisation du keytab

Ajouté par Emmanuel GARETTE il y a presque 6 ans. Mis à jour il y a environ 5 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Joël Cuissinat
Version cible:
sprint 2019 5-7 Equipe MENSR
Début:
29/06/2018
Echéance:
% réalisé:

100%

Restant à faire (heures):
0.0

Description

__Dans la documentation :

http://eole.ac-dijon.fr/documentations/2.6/completes/HTML/ModuleSeth/co/55_GestionCommande.html

Il est indiqué de faire :

kinit Administrator@AC-TEST.FR -k -t /var/lib/samba/eole-ad-dc.keytab

Sauf que ce keytab contient le keytab du compte machine et non celui de l'utilisateur

Il faudrait plutôt expliquer comment extraire le keytab et l'utiliser :

root@dc1:~# samba-tool domain exportkeytab ~/admin.keytab --principal=Administrator@AC-TEST.FR
Export one principal to admin.keytab
root@dc1:~# kinit Administrator@AC-TEST.FR -k -t ~/admin.keytab 
root@dc1:~# samba-tool dns add dc1.ac-test.fr ac-test.fr mac10 A 192.168.0.10 -k 1
Record added successfully
[..]
root@dc1:~# kdestroy
root@dc1:~# rm -f ~/admin.keytab 
root@dc1:~#

TODO : se renseigner sur les droits exacts d'un compte "machine" car ils sont plus limités/différents :o

Cet article (en anglais) explique plutôt bien qu'est ce qu'un keytab : https://social.technet.microsoft.com/wiki/contents/articles/36470.kerberos-keytabs-explained.aspx

Historique

#1 Mis à jour par Joël Cuissinat il y a presque 6 ans

  • Sujet changé de Documentation erroné pour l'utilisation du keytab à Documentation erronée pour l'utilisation du keytab
  • Description mis à jour (diff)

#2 Mis à jour par Joël Cuissinat il y a presque 6 ans

  • Description mis à jour (diff)

#3 Mis à jour par Joël Cuissinat il y a presque 6 ans

Je ne sais pas si cela doit être précisé dans la doc (NB : il est plus prudent que l'utilisateur génère son propre keytab et le supprime à la fin) mais au début l'instance stockait effectivement un keytab pour Administrator dans /var/lib/samba/eole-ad-dc.keytab.

Suite au signalement #21399, le code a été modifié et c'est le keytab du compte machine du serveur qui est désormais stocké dans ce même fichier !

Dans le conteneur addc d'un "aca.scribead", la commande suivante permet de le vérifier (pas d'erreur) :

kinit ADDC@AC-TEST.FR -k -t /var/lib/samba/eole-ad-dc.keytab

#5 Mis à jour par Joël Cuissinat il y a environ 5 ans

  • Assigné à mis à Joël Cuissinat
  • Tâche parente mis à #26447

#6 Mis à jour par Joël Cuissinat il y a environ 5 ans

  • Statut changé de Nouveau à En cours
  • % réalisé changé de 0 à 100

Mis à jour en 2.6, à recopier en 2.7 après relecture.

#7 Mis à jour par Joël Cuissinat il y a environ 5 ans

  • Statut changé de En cours à Résolu

#8 Mis à jour par Gérald Schwartzmann il y a environ 5 ans

  • Description mis à jour (diff)

#10 Mis à jour par Gérald Schwartzmann il y a environ 5 ans

  • Statut changé de Résolu à Fermé
  • Restant à faire (heures) mis à 0.0

Formats disponibles : Atom PDF