[Admin-ml] Kerberize ...

Fabien COMBERNOUS fcombernous at kezia.com
Ven 27 Nov 11:23:31 CET 2009


Fabien COMBERNOUS wrote:
> Olivier DUCROT wrote:
>> Il faut en dire plus sur ta configuration.
>> Quelle est la liste des services déjà kerbérisés
>> Peux-tu obtenir des tickets pour tous les services
>>
>> kadmin.local
>>  
>>> listprincs
>>>     
>>
>> klist -ke
>>
>> kinit diradmin (partant du principe que diradmin est l'administrateur 
>> ODM
>>
>> Quels sont les résultats de ces commandes ?
>>   
> Suite des aventures.
>
> J'ai rekerberizé à la main le serveur :
> sudo kerberosautoconfig -r DNS.DOMAIN -m dns.domain
> sudo kdcsetup -f /LDAPv3/127.0.0.1 -w -a diradmin -p xxxxxx DNS.DOMAIN
> sudo slapconfig -kerberize -f diradmin DNS.DOMAIN
>
> Maintenant un "kinit diradmin", me donne bien un ticket avec le 
> principal contenu par le kerberos à savoir diradmin at DNS.DOMAIN.
> Un reboot après c'est toujours fonctionnel.
> Mais, le bouton "Kerberize ..." est toujours là. Je soumet à votre 
> regard la liste des "principal" présents sur le serveur Kerberos 
> (AS+TGS).
>
> Et quand j'utilise la commande "kinit diradmin", dans syslog j'ai la 
> ligne :
> Nov 27 09:34:12 dns edu.mit.Kerberos.CCacheServer[12658]: launchctl 
> start error: No such process

Huhu. Hier soir j'ai créé le ticket pour l'utilisateur diradmin. Ce 
matin il était toujours là, normal. Je l'ai supprimé à la main. Puis 
j'ai fait autre chose ce qui a eu l'avantage de faire écouler le temps. 
Et ensuite j'ai voulu refaire un ticket. Et là,  j'ai le message :
kinit: Unable to acquire credentials for 'diradmin at DNS.DOMAIN': Cannot 
resolve network address for KDC in realm DNS.DOMAIN

Dans le temps qui s'écoule j'ai un message comme quoi le service de 
cache n'a plus de ticket valide et se stoppe :
Nov 27 10:54:13 dns 
/System/Library/CoreServices/CCacheServer.app/Contents/MacOS/CCacheServer[12658]: 
No valid tickets, timing out

Pour parodier les excellents textes d'Audiard dans Les tontons flingeurs :
L'homme de la Pampa, parfois rude, reste toujours courtois. Mais la 
vérité m'oblige à vous le dire : ton Apple commence à me les briser menu !

-- 
*Fabien COMBERNOUS*
/unix system engineer/
www.kezia.com <http://www.kezia.com/>
*Tel: +33 (0) 467 992 986*
Kezia Group



Plus d'informations sur la liste de diffusion Admin-ml