[Admin-ml] Authentification Kerberos -> question ktutil

François SCHOSSIG fs.nospam1 at laposte.net
Ven 3 Avr 14:58:09 CEST 2009


Merci. C'est bien ce que je craignais :-(

Moi qui m'étais donné la peine pour que nos 5 adresses IP publiques  
soient bien proprement intfi1 à intfi5 en direct et en reverse...
Et ensuite gérer les différents services par des CNAME...

Je n'ai pas encore testé, mais pourrait-on prendre la solution dans  
l'autre sens ?
Et si j'ajoute une interface réseau virtuelle sur le serveur MacOS  
(donc en local) qui porte le même nom que l'interface publique en  
direct et en reverse ?

Sinon, en creusant (et en bon apprenti sorcier :-) ), j'ai aussi lancé  
l'utilitaire ktutil,
puis fait read_kt /etc/krb5.keytab,
puis list.
Et là, on obtient une liste de slot/KVNO/Principal
avec entre autres vpn/thebrain.aer.eu at THEBRAIN.AER.EU

Y a-t-il un moyen de remplacer ? ajouter une ligne vpn/intfi2.aer.eu at THEBRAIN.AER.EU
Cela résoudrait-t-il le problème ?
J'ai bien essayé de faire un addent, mais je n'ai pas trouvé quoi  
mettre dans chaque paramètre :
usage: addent (-key | -password) -p principal -k kvno -e enctype

le principal serait vpn/intfi2.aer.eu at THEBRAIN.AER.EU
le kvno serait 3 (pourquoi ? j'ai mis 3 car toutes les autres lignes  
sont à 3...)
mais les autres ????

--
F. SCHOSSIG, ICT Manager
Assemblée des Régions d'Europe
http://www.aer.eu


Le 1 avr. 09 à 11:21, Laurent PERTOIS a écrit :

>
> On 1 avr. 09, at 09:16, François SCHOSSIG wrote:
>
>> Si j'ai bien compris, pour que l'authentification Kerberos  
>> fonctionne, il faut que DNS et reverse indiquent la même chose,  
>> non ? Comment fait-on alors pour des postes nomades, connectés une  
>> fois à l'intérieur et une fois à l'extérieur ?
>
>
> Ben facile, on fait en sorte que le nom porté à l'intérieur et à  
> l'extérieur soit le même, tout simplement.
>
> Donc, on décide du nom à l'extérieur, par exemple  
> monserveur.masociete.tld, on fait tout ce qu'il faut sur les DNS à  
> l'extérieur (géré par qui tu veux mais pas toi et pour la reverse  
> c'est ton FAI) pour que l'IP publique porte ce nom en forward et en  
> reverse. On colle le routeur, on mappe les ports vers le serveur  
> interne (88 en tcp et en udp pour kerberos). Ensuite, en interne on  
> fait un DNS avec les mêmes noms, donc ton serveur va s'appeller  
> monserveur.masociete.tld. Du coup, plus de soucis, même nom partout.
>
> Elle n'est pas belle la vie ?
>
> -- 
> 90.	Ooohh, lovely, it runs SVR4
> 101 Things You Do Not Want Your System Administrator To Say
>
>
> _______________________________________________
> Admin-ml mailing list
> Admin-ml at mosx.org
> http://coruscant.mosx.org/mailman/listinfo/admin-ml
>










Plus d'informations sur la liste de diffusion Admin-ml