[Admin-ml] pas de kerberos

Bertrand Chatain bertrand.chatain at zmirov.com
Lun 29 Juin 12:43:28 CEST 2009


Le 29 juin 09 à 12:19, Jean-Luc Bailloeul a écrit :

> Salut Olivier, Salut Bertrand,
>
>
> En regardant un peu plus en avant, il y a quand une petite  
> différence entre
> la 10.4 et la 10.5, c'est que tout Leopard possède en local son  
> propre petit
> Kerberos personnel, utilisé de base pour le partage d'écran embarqué  
> dans
> Leo. D'où la présence, il me semble, des fichiers  
> principal.LKDC:SHA1*.
> M'est avis du coup que contrairement à la procédure, il ne faut pas  
> vider le
> dossier /var/db/krb5kdc/, sous peine de faire sauter la partie  
> locale de
> Kerberos.
>
> Je pense que dans le cas de Bertrand où Kerberos n'a jamais été  
> installé
> (les fichiers n'existent pas de toute façon), il devrait commencer à  
> la
> partie 3 du tuto.
>
> Ce qui est curieux cependant dans la config de Bertrand, c'est que
> l'enregistrement DNS de son master correspond à son domaine, et non  
> pas à
> une machine du domaine.
>
>>>>>> reponse pour : $ sudo changeip -checkhostname
>>>>>>
>>>>>> Primary address     = 172.16.48.1
>>>>>>
>>>>>> Current HostName    = zmirov.com
>>>>>> DNS HostName        = zmirov.com
>
> Ça me paraît curieux comme pratique (c'est ce qui a dû faire tiquer  
> G.G).
>
> En résumé, cela lui donnerait ceci :
>
> $ kerberosautoconfig -r ZMIROV.COM -m zmirov.com
> $ kdcsetup -f /LDAPv3/127.0.0.1 -w -a admin -p ***** ZMIROV.COM
> $ sso_util configure -r ZMIROV.COM -a admin -p ***** all
> $ sso_util configure -r ZMIROV.COM -a admin -p ***** ldap
> $ mkpassdb -kerberize
> (sans faire l'impasse sur les vérifications).
>
> Correct ?
>
>

oui c'est exactement ça qui l'a chiffonner.

J'ai refait toutes les procédures après kerberisation de mon OD

(le site de easymac est inaccessible pour moi, le tuto est dans une  
partie sécurisée ?)

zmirov:~ root# ls -l /var/db/krb5kdc
total 456
-rw------- 1 root wheel 30 3 avr  
2008 .k5.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC
-rw------- 1 root wheel 30 25 jui 23:48 .k5.ZMIROV.COM
-rw------- 1 root wheel 89 25 jui 23:48 kadm5.acl
-rw------- 1 root wheel 383 25 jui 23:48 kadm5.keytab
-rw------- 1 root wheel 1225 25 jui 23:48 kdc.conf
-rw------- 1 root wheel 106496 24 jui 12:30  
principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC
-rw------- 1 root wheel 8192 3 avr 2008  
principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC.kadm5
-rw------- 1 root wheel 0 24 jui 12:30  
principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC.kadm5.lock
-rw------- 1 root wheel 0 24 jui 12:30  
principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC.ok
-rw------- 1 root wheel 90112 25 jui 23:56 principal.ZMIROV.COM
-rw------- 1 root wheel 8192 25 jui 23:48 principal.ZMIROV.COM.kadm5
-rw------- 1 root wheel 0 25 jui 23:56 principal.ZMIROV.COM.kadm5.lock
-rw------- 1 root wheel 0 25 jui 23:56 principal.ZMIROV.COM.ok
zmirov:~ root#
zmirov:~ root# dscl localhost
 > cd /LDAPv3/127.0.0.1/Config
/LDAPv3/127.0.0.1/Config > ls
CIFSServer
CollabServices
Group_Dir_Items
Home_Dir_Items
KerberosClient
KerberosKDC
ldapreplicas
macosxodconfig
macosxodpolicy
mcx_cache
passwordserver
passwordserver_XXXXXXXXXXXXXXXXXXXXXXXX
/LDAPv3/127.0.0.1/Config >
<dict>
<key>edu.mit.kerberos</key>
<dict>
<key>domain_realm</key>
<dict>
<key>.com</key>
<string>ZMIROV.COM</string>
<key>com</key>
<string>ZMIROV.COM</string>
</dict>
<key>libdefaults</key>
<dict>
<key>default_realm</key>
<string>ZMIROV.COM</string>
</dict>
<key>realms</key>
<dict>
<key>ZMIROV.COM</key>
<dict>
<key>KADM_List</key>
<array>
<string>zmirov.com</string>
</array>
<key>KDC_List</key>
<array>
<string>zmirov.com</string>
</array>
</dict>
</dict>
</dict>
<key>generationID</key>
<integer>102374203</integer>
</dict>
</plist>


/LDAPv3/127.0.0.1/Config > read KerberosKDC
dsAttrTypeNative:apple-config-realname: ZMIROV.COM
dsAttrTypeNative:apple-kdc-configdata:
[libdefaults]
default_realm = ZMIROV.COM
[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88
[realms]
ZMIROV.COM = {
kadmind_port = 749
max_life = 10h 0m 0s
max_renewable_life = 7d 0h 0m 0s
master_key_type = des3-hmac-sha1
supported_enctypes = des3-hmac-sha1:normal arcfour-hmac-md5:normal des- 
cbc-crc:normal des-cbc-crc:v4
acl_file = /var/db/krb5kdc/kadm5.acl
admin_keytab = /var/db/krb5kdc/kadm5.keytab
database_name = /var/db/krb5kdc/principal.ZMIROV.COM
key_stash_file = /var/db/krb5kdc/.k5.ZMIROV.COM
}
LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC = {
kadmind_port = 749
max_life = 10h 0m 0s
max_renewable_life = 7d 0h 0m 0s
master_key_type = des3-hmac-sha1
supported_enctypes = des3-hmac-sha1:normal arcfour-hmac-md5:normal des- 
cbc-crc:normal des-cbc-crc:v4
acl_file = /var/db/krb5kdc/kadm5.acl
admin_keytab = /var/db/krb5kdc/kadm5.keytab
database_name = /var/db/krb5kdc/ 
principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC
key_stash_file = /var/db/ 
krb5kdc/.k5.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC
}
[logging]
kdc = FILE
var/log/krb5kdc/kdc.log
admin_server = FILE
var/log/krb5kdc/kadmin.log
dsAttrTypeNative:cn: KerberosKDC
dsAttrTypeNative:objectClass: apple-configuration top
AppleMetaNodeLocation: /LDAPv3/127.0.0.1
KDCConfigData:
[libdefaults]
default_realm = ZMIROV.COM
[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88
[realms]
ZMIROV.COM = {
kadmind_port = 749
max_life = 10h 0m 0s
max_renewable_life = 7d 0h 0m 0s
master_key_type = des3-hmac-sha1
supported_enctypes = des3-hmac-sha1:normal arcfour-hmac-md5:normal des- 
cbc-crc:normal des-cbc-crc:v4
acl_file = /var/db/krb5kdc/kadm5.acl
admin_keytab = /var/db/krb5kdc/kadm5.keytab
database_name = /var/db/krb5kdc/principal.ZMIROV.COM
key_stash_file = /var/db/krb5kdc/.k5.ZMIROV.COM
}
LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC = {
kadmind_port = 749
max_life = 10h 0m 0s
max_renewable_life = 7d 0h 0m 0s
master_key_type = des3-hmac-sha1
supported_enctypes = des3-hmac-sha1:normal arcfour-hmac-md5:normal des- 
cbc-crc:normal des-cbc-crc:v4
acl_file = /var/db/krb5kdc/kadm5.acl
admin_keytab = /var/db/krb5kdc/kadm5.keytab
database_name = /var/db/krb5kdc/ 
principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC
key_stash_file = /var/db/ 
krb5kdc/.k5.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC
}
[logging]
kdc = FILE
var/log/krb5kdc/kdc.log
admin_server = FILE
var/log/krb5kdc/kadmin.log
RealName: ZMIROV.COM
RecordName: KerberosKDC
RecordType: dsRecTypeStandard:Config
ktutil: list
slot KVNO Principal
---- ----  
---------------------------------------------------------------------
1 3 kadmin/admin at ZMIROV.COM
2 3 kadmin/admin at ZMIROV.COM
3 3 kadmin/admin at ZMIROV.COM
4 3 kadmin/changepw at ZMIROV.COM
5 3 kadmin/changepw at ZMIROV.COM
6 3 kadmin/changepw at ZMIROV.COM
7 3 kadmin/admin at ZMIROV.COM
8 3 kadmin/admin at ZMIROV.COM
9 3 kadmin/admin at ZMIROV.COM
10 3 kadmin/changepw at ZMIROV.COM
11 3 kadmin/changepw at ZMIROV.COM
12 3 kadmin/changepw at ZMIROV.COM
ktutil:
Last login: Fri Jun 26 14:14:06 on ttys001
zmirov:~ root# klist -ke
Keytab name: FILE
etc/krb5.keytab
KVNO Principal
----  
--------------------------------------------------------------------------
3 afpserver/ 
LKDC:SHA1 
.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC 
@LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC (Triple DES cbc  
mode with HMAC/sha1)
3 afpserver/ 
LKDC:SHA1 
.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC 
@LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC (ArcFour with HMAC/ 
md5)
3 afpserver/ 
LKDC:SHA1 
.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC 
@LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC (DES cbc mode with  
CRC-32)
3 cifs/ 
LKDC:SHA1 
.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC 
@LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC (Triple DES cbc  
mode with HMAC/sha1)
3 cifs/ 
LKDC:SHA1 
.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC 
@LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC (ArcFour with HMAC/ 
md5)
3 cifs/ 
LKDC:SHA1 
.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC 
@LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC (DES cbc mode with  
CRC-32)
3 vnc/ 
LKDC:SHA1 
.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC 
@LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC (Triple DES cbc  
mode with HMAC/sha1)
3 vnc/ 
LKDC:SHA1 
.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC 
@LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC (ArcFour with HMAC/ 
md5)
3 vnc/ 
LKDC:SHA1 
.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC 
@LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC (DES cbc mode with  
CRC-32)
3 fcsvr/zmirov.com at ZMIROV.COM (Triple DES cbc mode with HMAC/sha1)
3 fcsvr/zmirov.com at ZMIROV.COM (ArcFour with HMAC/md5)
3 fcsvr/zmirov.com at ZMIROV.COM (DES cbc mode with CRC-32)
3 pcast/zmirov.com at ZMIROV.COM (Triple DES cbc mode with HMAC/sha1)
3 pcast/zmirov.com at ZMIROV.COM (ArcFour with HMAC/md5)
3 pcast/zmirov.com at ZMIROV.COM (DES cbc mode with CRC-32)
3 vnc/zmirov.com at ZMIROV.COM (Triple DES cbc mode with HMAC/sha1)
3 vnc/zmirov.com at ZMIROV.COM (ArcFour with HMAC/md5)
3 vnc/zmirov.com at ZMIROV.COM (DES cbc mode with CRC-32)
3 cifs/zmirov.com at ZMIROV.COM (Triple DES cbc mode with HMAC/sha1)
3 cifs/zmirov.com at ZMIROV.COM (ArcFour with HMAC/md5)
3 cifs/zmirov.com at ZMIROV.COM (DES cbc mode with CRC-32)
3 ldap/zmirov.com at ZMIROV.COM (Triple DES cbc mode with HMAC/sha1)
3 ldap/zmirov.com at ZMIROV.COM (ArcFour with HMAC/md5)
3 ldap/zmirov.com at ZMIROV.COM (DES cbc mode with CRC-32)
3 xgrid/zmirov.com at ZMIROV.COM (Triple DES cbc mode with HMAC/sha1)
3 xgrid/zmirov.com at ZMIROV.COM (ArcFour with HMAC/md5)
3 xgrid/zmirov.com at ZMIROV.COM (DES cbc mode with CRC-32)
3 vpn/zmirov.com at ZMIROV.COM (Triple DES cbc mode with HMAC/sha1)
3 vpn/zmirov.com at ZMIROV.COM (ArcFour with HMAC/md5)
3 vpn/zmirov.com at ZMIROV.COM (DES cbc mode with CRC-32)
3 ipp/zmirov.com at ZMIROV.COM (Triple DES cbc mode with HMAC/sha1)
3 ipp/zmirov.com at ZMIROV.COM (ArcFour with HMAC/md5)
3 ipp/zmirov.com at ZMIROV.COM (DES cbc mode with CRC-32)
3 xmpp/zmirov.com at ZMIROV.COM (Triple DES cbc mode with HMAC/sha1)
3 xmpp/zmirov.com at ZMIROV.COM (ArcFour with HMAC/md5)
3 xmpp/zmirov.com at ZMIROV.COM (DES cbc mode with CRC-32)
3 XMPP/zmirov.com at ZMIROV.COM (Triple DES cbc mode with HMAC/sha1)
3 XMPP/zmirov.com at ZMIROV.COM (ArcFour with HMAC/md5)
3 XMPP/zmirov.com at ZMIROV.COM (DES cbc mode with CRC-32)
3 host/zmirov.com at ZMIROV.COM (Triple DES cbc mode with HMAC/sha1)
3 host/zmirov.com at ZMIROV.COM (ArcFour with HMAC/md5)
3 host/zmirov.com at ZMIROV.COM (DES cbc mode with CRC-32)
3 smtp/zmirov.com at ZMIROV.COM (Triple DES cbc mode with HMAC/sha1)
3 smtp/zmirov.com at ZMIROV.COM (ArcFour with HMAC/md5)
3 smtp/zmirov.com at ZMIROV.COM (DES cbc mode with CRC-32)
3 nfs/zmirov.com at ZMIROV.COM (Triple DES cbc mode with HMAC/sha1)
3 nfs/zmirov.com at ZMIROV.COM (ArcFour with HMAC/md5)
3 nfs/zmirov.com at ZMIROV.COM (DES cbc mode with CRC-32)
3 http/zmirov.com at ZMIROV.COM (Triple DES cbc mode with HMAC/sha1)
3 http/zmirov.com at ZMIROV.COM (ArcFour with HMAC/md5)
3 http/zmirov.com at ZMIROV.COM (DES cbc mode with CRC-32)
3 HTTP/zmirov.com at ZMIROV.COM (Triple DES cbc mode with HMAC/sha1)
3 HTTP/zmirov.com at ZMIROV.COM (ArcFour with HMAC/md5)
3 HTTP/zmirov.com at ZMIROV.COM (DES cbc mode with CRC-32)
3 pop/zmirov.com at ZMIROV.COM (Triple DES cbc mode with HMAC/sha1)
3 pop/zmirov.com at ZMIROV.COM (ArcFour with HMAC/md5)
3 pop/zmirov.com at ZMIROV.COM (DES cbc mode with CRC-32)
3 imap/zmirov.com at ZMIROV.COM (Triple DES cbc mode with HMAC/sha1)
3 imap/zmirov.com at ZMIROV.COM (ArcFour with HMAC/md5)
3 imap/zmirov.com at ZMIROV.COM (DES cbc mode with CRC-32)
3 ftp/zmirov.com at ZMIROV.COM (Triple DES cbc mode with HMAC/sha1)
3 ftp/zmirov.com at ZMIROV.COM (ArcFour with HMAC/md5)
3 ftp/zmirov.com at ZMIROV.COM (DES cbc mode with CRC-32)
3 afpserver/zmirov.com at ZMIROV.COM (Triple DES cbc mode with HMAC/sha1)
3 afpserver/zmirov.com at ZMIROV.COM (ArcFour with HMAC/md5)
3 afpserver/zmirov.com at ZMIROV.COM (DES cbc mode with CRC-32)
zmirov:~ root#
Last login: Fri Jun 26 14:15:13 on ttys002
zmirov:~ root# kinit bertrandchatain
Please enter the password for bertrandchatain at ZMIROV.COM:
zmirov:~ root#
zmirov:~ root# klist -5
Kerberos 5 ticket cache: 'API:Initial default ccache'
Default principal: bertrandchatain at ZMIROV.COM
Valid Starting Expires Service Principal
06/26/09 14:15:47 06/27/09 00:15:46 krbtgt/ZMIROV.COM at ZMIROV.COM
renew until 07/03/09 14:15:46
zmirov:~ root#

>
>> De : Olivier DUCROT <odlists at easymac.fr>
>> Répondre à : Administrateurs Systèmes sur Mac OS X <admin- 
>> ml at mosx.org>
>> Date : Mon, 29 Jun 2009 07:15:46 +0200
>> À : Administrateurs Systèmes sur Mac OS X <admin-ml at mosx.org>
>> Conversation : [Admin-ml] pas de kerberos
>> Objet : Re: [Admin-ml] pas de kerberos
>>
>> Salut Jean-Luc,
>> Je dois t'avouer que je n'ai jamais eu besoin de tester cette  
>> procédure
>> depuis la sortie du 10.5, sur un 10.5.
>> Il n'y a pas de raison que ça ne fonctionne plus.
>>
>>
>> le 25/06/09 19:23, jean-luc Bailloeul à jlbailloeul at irtsnpdc.fr a  
>> écrit :
>>
>>> oui, ben, c'est mal barré. il te manque la moitié des fichiers.
>>> tu n'as pas de fichier edu.mit.kerberos, il te manque les principals
>>> du realm.
>>> Normalement tous ces fichiers sont créés à la création du master OD.
>>> Peut être que les problèmes DNS rencontrés à l'instal ont chuinté
>>> Kerberos.
>>> Je ne peux que te conseiller de casser ce qu'il reste de Kerberos,  
>>> et
>>> de le reconstruire (sur un clone pour démarrer bien sûr), l'autre
>>> solution moins sympa étant de refaire ton OD :-(.
>>>
>>> la procédure est bien expliquée sur le site d'Olivier, même si cela
>>> serait bien qu'il puisse nous confirmer que la procédure est valable
>>> pour X.5.
>>> cf.
>>>
> http://www.easymac.fr:8082/easymac/technicalcookbook/mosxserver/mosxserver-kb 
> >>
> a
>>> se/mosxserver-kbase-kerberos-repare
>>>
>>> en suivant le pas à pas, cela devrait te prendre un bon quart  
>>> d'heure.
>>>
>>> Bon courage !
>>>
>>>
>>> Le 25 juin 09 à 18:16, Bertrand Chatain a écrit :
>>>
>>>>
>>>> Le 20 juin 09 à 13:36, Jean-Luc Bailloeul a écrit :
>>>>
>>>>> oui, cela m'étonnait aussi qu'ils aient raté un problème DNS.
>>>>> J'en parlais dans le thread "quand kerby contrarie AFP", Kerberos
>>>>> m'a régulièrement fait des siennes avec un DNS en bon état.
>>>>>
>>>>> procédons par élimination :
>>>>>
>>>>> - que dis ton fichier /Library/Preferences/edu.mit.Kerberos
>>>>
>>>> pas de fichier
>>>>
>>>>>
>>>>> - vérifies les fichiers keytab… : ls -l /var/db/krb5kdc
>>>>
>>>> total 240
>>>> -rw-------  1 root  wheel      30  3 avr
>>>> 2008 .k5.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC
>>>> -rw-------  1 root  wheel     839  3 avr  2008 kdc.conf
>>>> -rw-------  1 root  wheel  106496 24 jui 12:30
>>>> principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC
>>>> -rw-------  1 root  wheel    8192  3 avr  2008
>>>> principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC.kadm5
>>>> -rw-------  1 root  wheel       0 24 jui 12:30
>>>> principal
>>>> .LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC.kadm5.lock
>>>> -rw-------  1 root  wheel       0 24 jui 12:30
>>>> principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC.ok
>>>> zmirov:~ root#
>>>>
>>>>>
>>>>> - vérifie que la config est stockée dans le ldap :
>>>>> dscl localhost
>>>>>
>>>>>> cd /LDAPv3/127.0.0.1/Config
>>>>>> ls
>>>>
>>>> CIFSServer
>>>> CollabServices
>>>> Group_Dir_Items
>>>> Home_Dir_Items
>>>> ldapreplicas
>>>> macosxodconfig
>>>> macosxodpolicy
>>>> mcx_cache
>>>> passwordserver
>>>> passwordserver_xxxxxxxxxxxxxxxxxxxxxxxxxx
>>>>
>>>>>> read KerberosClient
>>>>
>>>> /LDAPv3/127.0.0.1/Config > read KerberosClient
>>>> <dscl_cmd> DS Error: -14136 (eDSRecordNotFound)
>>>>
>>>>>> read KerberosKDC
>>>>
>>>>> read KerberosKDC
>>>>
>>>>
>>>>
>>>>>
>>>>> - vérifier que le fichier kadm5.keytab contient les bons  
>>>>> principals
>>>>>> ktutil: rkt /var/db/krb5kdc/kadm5.keytab
>>>>
>>>> ktutil:  rkt /var/db/krb5kdc/kadm5.keytab
>>>> rkt: No such file or directory while reading keytab "/var/db/ 
>>>> krb5kdc/
>>>> kadm5.keytab"
>>>>
>>>>>> ktutil: list
>>>>>
>>>>> • Vérifier que le fichier /etc/krb5.keytab a bien été créé puis,
>>>>> qu'il contient les principals des services
>>>>> $klist -ke
>>>>>
>>>>> - vérifier que tu obtiens le bon ticket :
>>>>> kinit nom_user
>>>>> klist -5
>>>>>
>>>>> Si tu faire une sortie de tout cela on pourra peut-être voir ce  
>>>>> qui
>>>>> cloche.
>>>>>
>>>>> Rendons à Olivier ce qui appartient à César : Je n'ai ici rien
>>>>> inventé, c'est même du copié-collé.
>>>>> Je te renvoie vers l'excellent cookbook d'Olivier Ducrot et le
>>>>> sujet adhoc :
>>>>>
> http://www.easymac.fr:8082/easymac/technicalcookbook/mosxserver/mosxserver- 
> >>>>
> k
>>>>> base/mosxserver-kbase-kerberos-repare
>>>>>
>>>>> Tiens-nous au courant.
>>>>> Jean-Luc
>>>>>
>>>>>
>>>>> Le 20 juin 09 à 13:06, Bertrand Chatain a écrit :
>>>>>
>>>>>> pour guillaume Gete, il est intervenu pour un probleme de synchro
>>>>>> iphone entourage et il a accepté de jeter un coup d'oeil à mon
>>>>>> serveur. Le DNS n'était pas mauvais pour lui mais "il n'aurait  
>>>>>> pas
>>>>>> fait comme ça"
>>>>>>
>>>>>> reponse pour : $ sudo changeip -checkhostname
>>>>>>
>>>>>> Primary address     = 172.16.48.1
>>>>>>
>>>>>> Current HostName    = zmirov.com
>>>>>> DNS HostName        = zmirov.com
>>>>>>
>>>>>> The names match. There is nothing to change.
>>>>>>
>>>>>> sur ma replique
>>>>>>
>>>>>> Primary address     = 192.168.2.3
>>>>>>
>>>>>> Current HostName    = asap.zmirov.com
>>>>>> DNS HostName        = asap.zmirov.com
>>>>>>
>>>>>> The names match. There is nothing to change.
>>>>>>
>>>>>>
>>>>>> Le 20 juin 09 à 09:36, Jean-Luc Bailloeul a écrit :
>>>>>>
>>>>>>> c'est clair :
>>>>>>>> 2008-12-09 19:38:53 +0100 - No Kerberos realm name found.
>>>>>>> pas de realm.Ton kerberos ne fonctionne pas.
>>>>>>> Comme te conseille Laurent, Il faut checker ton dns.
>>>>>>>
>>>>>>> Ce qui est inquiétant, c'est que tu as eu le droit à deux ingé
>>>>>>> pour l'install et à Guillaume Gete, (qui est passé, mais s'est- 
>>>>>>> il
>>>>>>> arrêté ?) mais qui n'ont pu résoudre un "simple" problème DNS.
>>>>>>> Cela m'étonne vraiment qu'ils soient passés à travers.
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> Le 19 juin 09 à 11:29, Bertrand Chatain a écrit :
>>>>>>>
>>>>>>>> En fait, je m'en suis rendu compte car j'ai fait la maquette
>>>>>>>> d'un serveur podcast producer pour le fun. Le serveur en lui
>>>>>>>> même roule bien mais au moment d'adjoindre d'autre clients  
>>>>>>>> xgrid
>>>>>>>> ça coince.
>>>>>>>>
>>>>>>>> Le xgrid du podcast  producer est impérativement kerberisé et  
>>>>>>>> le
>>>>>>>> poste que je veux adjoindre et sur le OD master non kerberisé
>>>>>>>> donc je soupçonne un lien de cause à effet. L'ouverture d'un
>>>>>>>> ticket kerberos manuelle n'a pas résolu le problème.
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>> A tous hasard voiles les logs du kerberos
>>>>>>>>
>>>>>>>>
>>>>>>>> May 03 13:40:49 zmirov.com krb5kdc[135](info): listening on fd
>>>>>>>> 12: tcp 0.0.0.0.88
>>>>>>>> May 03 13:40:49 zmirov.com krb5kdc[135](info): listening on fd
>>>>>>>> 11: tcp ::.88
>>>>>>>> May 03 13:40:49 zmirov.com krb5kdc[135](info): set up 4 sockets
>>>>>>>> May 03 13:40:49 zmirov.com krb5kdc[135](info): commencing
>>>>>>>> operation
>>>>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): setting up
>>>>>>>> network...
>>>>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd
>>>>>>>> 9: udp fe80::1%lo0.88
>>>>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): skipping
>>>>>>>> unrecognized local address family 16
>>>>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd
>>>>>>>> 10: udp 172.16.48.1.88
>>>>>>>> krb5kdc: setsockopt(IPV6_V6ONLY,1) worked
>>>>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd
>>>>>>>> 12: tcp 0.0.0.0.88
>>>>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd
>>>>>>>> 11: tcp ::.88
>>>>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): set up 4 sockets
>>>>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): commencing
>>>>>>>> operation
>>>>>>>>
>>>>>>>> et peut être plus intéressant dans les logs de ma réplique OD
>>>>>>>>
>>>>>>>> 2008-12-09 19:38:52 +0100 - 9 Enabling local Kerberos server
>>>>>>>> 2008-12-09 19:38:53 +0100 - No Kerberos realm name found.
>>>>>>>> 2008-12-09 19:38:53 +0100 - command: /usr/sbin/
>>>>>>>> vpnaddkeyagentuser -q /LDAPv3/127.0.0.1
>>>>>>>> 2008-12-09 19:38:57 +0100 - ldap_modify: Internal
>>>>>>>> (implementation specific) error (80)
>>>>>>>> additional info: <olcRootDSE> could not read file
>>>>>>>> 2009-01-30 01:31:14 +0100 - slapconfig -setmaxnumberofdblocks
>>>>>>>>
>>>>>>>>
>>>>>>>> Le 19 juin 09 à 10:52, Jean-Luc Bailloeul a écrit :
>>>>>>>>
>>>>>>>>>
>>>>>>>>> Le 18 juin 09 à 14:02, Bertrand Chatain a écrit :
>>>>>>>>>
>>>>>>>>>> Bonjour
>>>>>>>>>>
>>>>>>>>>> je viens de voir dans mon OD master que kerberos est éteint.
>>>>>>>>>> C'est grave docteur ? ;-)
>>>>>>>>> Cela dépend si tu t'en sers ou pas.
>>>>>>>>> Kerberos permet d'obtenir à l'ouverture de session un ticket
>>>>>>>>> d'authentification pour une durée donnée (par défaut de 10H il
>>>>>>>>> me semble).
>>>>>>>>> C'est très pratique lorsqu'on fait de l'ouverture de dossiers
>>>>>>>>> au démarrage, puisqu'il permet de ne pas retaper son mot de
>>>>>>>>> passe.
>>>>>>>>> C'est utilisable bien sûr pour plein de services, mais si tu  
>>>>>>>>> ne
>>>>>>>>> t'en sers pas c'est pas dramatique.
>>>>>>>>>
>>>>>>>>> En effet, les problèmes de DNS sont rédibitoires pour l'instal
>>>>>>>>> de kerberos.
>>>>>>>>> mais tu pourrais regarder également dans les logs de kdc, voir
>>>>>>>>> s'il ne se plaint pas d'autre chose.
>>>>>>>>> J'ai régulièrement eu et j'ai encore régulièrement des
>>>>>>>>> problèmes avec Kerberos, qui ne sont pas forcément de l'ordre
>>>>>>>>> du DNS.
>>>>>>>>> Cdt,
>>>>>>>>> Jean-Luc
>>>>>>>>>>
>>>>>>>>>> Je peux pas dire depuis quand et je demande même s'il n'a
>>>>>>>>>> jamais été activer.
>>>>>>>>>>
>>>>>>>>>> si je l'active il va se passer quoi ?
>>>>>>>>>>
>>>>>>>>>> Bertrand
>>>>>>>>>> _______________________________________________
>>>>>>>>>>




Plus d'informations sur la liste de diffusion Admin-ml