Project

General

Profile

Tâche #29093

Scénario #28330: L'intégration proxy dans un domaine AD doit fonctionner pour toutes les architectures

se documenter sur l'option -k

Added by Emmanuel GARETTE over 4 years ago. Updated over 4 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
10/10/2019
Due date:
% Done:

100%

Remaining (hours):
0.0

History

#1 Updated by Emmanuel GARETTE over 4 years ago

  • Status changed from Nouveau to En cours
  • Assigned To set to Emmanuel GARETTE

#2 Updated by Emmanuel GARETTE over 4 years ago

Usage de l'option

L'option -k sert, comme pour samba-tool, a utiliser une session kerberos pré-existante (il faut faire un kinit avant).

Il n'y a pas de kinit de fait avant donc l'option ne me semble pas utile.

Pourquoi y a-t'il un comportement différent ?

Sans l'option -k

De ce que je comprends du code source/strace/... le fichier de configuration de kerberos /etc/krb5.conf est utilisé au début :

[libdefaults]
   default_realm = DOMSETH.AC-TEST.FR
   dns_lookup_realm = true
   dns_lookup_kdc = true

Puis c'est le fichier /var/run/samba/smb_krb5/krb5.conf.DOMPEDAGO (qui est généré par Samba) qui est utilisé (pour retrouver les contrôleurs) avec le contenu :

[libdefaults]
    default_realm = DOMSETH.AC-TEST.FR
    default_etypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 arcfour-hmac-md5 des-cbc-crc des-cbc-md5
    dns_lookup_realm = false

[realms]
    DOMSETH.AC-TEST.FR = {
        kdc = 192.168.0.6
        kdc = 192.168.0.5
    }

Avec l'option -k :

La commande essai de se connecter à la socket /var/run/samba/smb_tmp_krb5.xxxx plutot que de lire le fichier /etc/krb5.conf.

Il va lire un fichier généré par Samba : /var/run/samba/smb_krb5/krb5.conf..JOIN qui a le contenu suivant :

[libdefaults]
    default_realm = DOMSETH.AC-TEST.FR
    default_etypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 arcfour-hmac-md5 des-cbc-crc des-cbc-md5
    dns_lookup_realm = false

[realms]
    DOMSETH.AC-TEST.FR = {
        kdc = 192.168.0.6
        kdc = 192.168.0.5
    }

Avec la méthode -k je vois dans le code 2 validations supplémentaire que la version sans -k (vérifie que l'IP du DC ressemble bien et que la résolution du nom fonctionne correctement).
Je ne vois pas de différence de code notable autre.

Hypothèse du changement de comportement avec et sans l'option

J'ai tendance a penser que le problème vient de l'option dns_lookup_realm :

This module looks for DNS records for fallback host-to-realm mappings and the default realm. It only operates if the dns_lookup_realm variable is set to true.

Cette ligne est présente dans le template. Ce fichier n'étant lu que lorsque l'option n'est pas défini, on a un comportement différent avec ou sans l'option.

Je n'ai pas réussi a reproduire, même en faisant un site, donc cela reste un hypothèse.

Dans tous les cas le fichier /etc/krb5.conf n'est pas utile.

Solution proposée

Je propose de supprimer le fichier /etc/krb5.conf de la liste des templates (puisqu'il est généré par Samba) et de laisser Samba fait tout seul son travail (ce qu'il semble faire mieux que nous).

Je propose donc de ne pas utiliser l'option -k.

Une demande de test a été faite à l'utilisateur dans le scénarios.

#3 Updated by Emmanuel GARETTE over 4 years ago

  • % Done changed from 0 to 100

#4 Updated by Emmanuel GARETTE over 4 years ago

  • Status changed from En cours to Résolu

#5 Updated by Joël Cuissinat over 4 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) set to 0.0

Merci

Also available in: Atom PDF