[Admin-ml] Authentification Kerberos -> question ktutil
Laurent PERTOIS
laurent_pertois at mac.com
Ven 3 Avr 17:51:59 CEST 2009
On 3 avr. 09, at 14:58, François SCHOSSIG wrote:
> Merci. C'est bien ce que je craignais :-(
>
Allons...
> Moi qui m'étais donné la peine pour que nos 5 adresses IP publiques
> soient bien proprement intfi1 à intfi5 en direct et en reverse...
> Et ensuite gérer les différents services par des CNAME...
>
Ben, tu fais un cname qui porte le nom de ton serveur en interne, ça
suffit. Ce qu'il faut c'est que le client, s'appuyant sur son fichier
de configuration, sache trouver le serveur par son nom. Ensuite, les
reverse ne sont importantes que pour le KDC et sa création.
> Je n'ai pas encore testé, mais pourrait-on prendre la solution dans
> l'autre sens ?
> Et si j'ajoute une interface réseau virtuelle sur le serveur MacOS
> (donc en local) qui porte le même nom que l'interface publique en
> direct et en reverse ?
>
Ben, bon courage et bienvenue aux ennuis, oublie ça.
> Sinon, en creusant (et en bon apprenti sorcier :-) ), j'ai aussi
> lancé l'utilitaire ktutil,
> puis fait read_kt /etc/krb5.keytab,
> puis list.
> Et là, on obtient une liste de slot/KVNO/Principal
> avec entre autres vpn/thebrain.aer.eu at THEBRAIN.AER.EU
>
> Y a-t-il un moyen de remplacer ? ajouter une ligne vpn/intfi2.aer.eu at THEBRAIN.AER.EU
> Cela résoudrait-t-il le problème ?
Non, fais un cname de thebrain.aer.eu vers intfi2.aer.eu et ça suffira.
> J'ai bien essayé de faire un addent, mais je n'ai pas trouvé quoi
> mettre dans chaque paramètre :
> usage: addent (-key | -password) -p principal -k kvno -e enctype
>
Non, là tu vas créer de nouvelles entrées dans ton keytab, mais il
faudrait d'abord créer les entrées dans le KDC et ensuite reconfigurer
tous tes services, essaie d'abord ma première solution.
> le principal serait vpn/intfi2.aer.eu at THEBRAIN.AER.EU
> le kvno serait 3 (pourquoi ? j'ai mis 3 car toutes les autres lignes
> sont à 3...)
> mais les autres ????
Il faut arrêter de jouer à l'apprenti-sorcier, Mickey a montré ce que
ça pouvait donner ;-)
--
80. hey, what does mkfs do?
101 Things You Do Not Want Your System Administrator To Say
Plus d'informations sur la liste de diffusion Admin-ml