Tâche #24382: Documentation erronée pour l'utilisation du keytab - Distribution EOLE - Ensemble Ouvert Libre Évolutif

Tâche #24382

Scénario #26447: Traitement express MEN (5-7)

Documentation erronée pour l'utilisation du keytab

Added by Emmanuel GARETTE over 5 years ago. Updated over 4 years ago.

Status:

Fermé

Priority:

Normal

Assigned To:

Joël Cuissinat

Target version:

sprint 2019 5-7 Equipe MENSR

Start date:

06/29/2018

Due date:

% Done:

100%

Remaining (hours):

0.0

Description

__Dans la documentation :

http://eole.ac-dijon.fr/documentations/2.6/completes/HTML/ModuleSeth/co/55_GestionCommande.html

Il est indiqué de faire :

kinit Administrator@AC-TEST.FR -k -t /var/lib/samba/eole-ad-dc.keytab

Sauf que ce keytab contient le keytab du compte machine DC1@AC-TEST.fr et non celui de l'utilisateur Administrator@AC-TEST.FR

Il faudrait plutôt expliquer comment extraire le keytab et l'utiliser :

root@dc1:~# samba-tool domain exportkeytab ~/admin.keytab --principal=Administrator@AC-TEST.FR
Export one principal to admin.keytab
root@dc1:~# kinit Administrator@AC-TEST.FR -k -t ~/admin.keytab 
root@dc1:~# samba-tool dns add dc1.ac-test.fr ac-test.fr mac10 A 192.168.0.10 -k 1
Record added successfully
[..]
root@dc1:~# kdestroy
root@dc1:~# rm -f ~/admin.keytab 
root@dc1:~#

TODO : se renseigner sur les droits exacts d'un compte "machine" car ils sont plus limités/différents :o

Cet article (en anglais) explique plutôt bien qu'est ce qu'un keytab : https://social.technet.microsoft.com/wiki/contents/articles/36470.kerberos-keytabs-explained.aspx

History

#1 Updated by Joël Cuissinat over 5 years ago

Subject changed from Documentation erroné pour l'utilisation du keytab to Documentation erronée pour l'utilisation du keytab
Description updated (diff)

#2 Updated by Joël Cuissinat over 5 years ago

Description updated (diff)

#3 Updated by Joël Cuissinat over 5 years ago

Je ne sais pas si cela doit être précisé dans la doc (NB : il est plus prudent que l'utilisateur génère son propre keytab et le supprime à la fin) mais au début l'instance stockait effectivement un keytab pour Administrator dans /var/lib/samba/eole-ad-dc.keytab.

Suite au signalement #21399, le code a été modifié et c'est le keytab du compte machine du serveur qui est désormais stocké dans ce même fichier !

Dans le conteneur addc d'un "aca.scribead", la commande suivante permet de le vérifier (pas d'erreur) :

kinit ADDC@AC-TEST.FR -k -t /var/lib/samba/eole-ad-dc.keytab

#4 Updated by Gérald Schwartzmann about 5 years ago

La page a changé de nom : http://eole.ac-dijon.fr/documentations/2.6/completes/HTML/ModuleSeth/co/55_GestionCommande.html

#5 Updated by Joël Cuissinat over 4 years ago

Assigned To set to Joël Cuissinat
Parent task set to #26447

#6 Updated by Joël Cuissinat over 4 years ago

Status changed from Nouveau to En cours
% Done changed from 0 to 100

Mis à jour en 2.6, à recopier en 2.7 après relecture.

#7 Updated by Joël Cuissinat over 4 years ago

Status changed from En cours to Résolu

#8 Updated by Gérald Schwartzmann over 4 years ago

Description updated (diff)

#9 Updated by Gérald Schwartzmann over 4 years ago

http://eole.ac-dijon.fr/documentations/2.7/completes/HTML/ModuleSeth/co/55_GestionCommande.html

#10 Updated by Gérald Schwartzmann over 4 years ago

Status changed from Résolu to Fermé
Remaining (hours) set to 0.0

Also available in: Atom PDF

Project

General

Profile

Distribution EOLE

Issues

Custom queries