Tâche #29093
Scénario #28330: L'intégration proxy dans un domaine AD doit fonctionner pour toutes les architectures
se documenter sur l'option -k
100%
Historique
#1 Mis à jour par Emmanuel GARETTE il y a plus de 4 ans
- Statut changé de Nouveau à En cours
- Assigné à mis à Emmanuel GARETTE
#2 Mis à jour par Emmanuel GARETTE il y a plus de 4 ans
Usage de l'option¶
L'option -k sert, comme pour samba-tool, a utiliser une session kerberos pré-existante (il faut faire un kinit avant).
Il n'y a pas de kinit de fait avant donc l'option ne me semble pas utile.
Pourquoi y a-t'il un comportement différent ?¶
Sans l'option -k¶
De ce que je comprends du code source/strace/... le fichier de configuration de kerberos /etc/krb5.conf est utilisé au début :
[libdefaults] default_realm = DOMSETH.AC-TEST.FR dns_lookup_realm = true dns_lookup_kdc = true
Puis c'est le fichier /var/run/samba/smb_krb5/krb5.conf.DOMPEDAGO (qui est généré par Samba) qui est utilisé (pour retrouver les contrôleurs) avec le contenu :
[libdefaults]
default_realm = DOMSETH.AC-TEST.FR
default_etypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 arcfour-hmac-md5 des-cbc-crc des-cbc-md5
dns_lookup_realm = false
[realms]
DOMSETH.AC-TEST.FR = {
kdc = 192.168.0.6
kdc = 192.168.0.5
}
Avec l'option -k :¶
La commande essai de se connecter à la socket /var/run/samba/smb_tmp_krb5.xxxx plutot que de lire le fichier /etc/krb5.conf.
Il va lire un fichier généré par Samba : /var/run/samba/smb_krb5/krb5.conf..JOIN qui a le contenu suivant :
[libdefaults]
default_realm = DOMSETH.AC-TEST.FR
default_etypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 arcfour-hmac-md5 des-cbc-crc des-cbc-md5
dns_lookup_realm = false
[realms]
DOMSETH.AC-TEST.FR = {
kdc = 192.168.0.6
kdc = 192.168.0.5
}
Avec la méthode -k je vois dans le code 2 validations supplémentaire que la version sans -k (vérifie que l'IP du DC ressemble bien et que la résolution du nom fonctionne correctement).
Je ne vois pas de différence de code notable autre.
Hypothèse du changement de comportement avec et sans l'option¶
J'ai tendance a penser que le problème vient de l'option dns_lookup_realm :
This module looks for DNS records for fallback host-to-realm mappings and the default realm. It only operates if the dns_lookup_realm variable is set to true.
Cette ligne est présente dans le template. Ce fichier n'étant lu que lorsque l'option n'est pas défini, on a un comportement différent avec ou sans l'option.
Je n'ai pas réussi a reproduire, même en faisant un site, donc cela reste un hypothèse.
Dans tous les cas le fichier /etc/krb5.conf n'est pas utile.
Solution proposée¶
Je propose de supprimer le fichier /etc/krb5.conf de la liste des templates (puisqu'il est généré par Samba) et de laisser Samba fait tout seul son travail (ce qu'il semble faire mieux que nous).
Je propose donc de ne pas utiliser l'option -k.
Une demande de test a été faite à l'utilisateur dans le scénarios.
#3 Mis à jour par Emmanuel GARETTE il y a plus de 4 ans
- % réalisé changé de 0 à 100
#4 Mis à jour par Emmanuel GARETTE il y a plus de 4 ans
- Statut changé de En cours à Résolu
#5 Mis à jour par Joël Cuissinat il y a plus de 4 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) mis à 0.0
Merci