AW: AW: [suse-security] Samba 3.0, ADS, Kerberos
Hello, the following worked fine with my Windows-ADS-2003-Servers and my Linux Mailserver running SuSE 9.0 with Heimdahl Kerberos. Please excuse me, that i didn`t translate the extract from my personal-howto into english: A. auf dem Windoze 2003 Server 1. Im AD wird ein Benutzer mit dem Account linux und dem Namen xms010 (nicht fqdn) erzeugt. Passworteigenschaften auf ..läuft nie ab und ... nicht bei der ersten Anmeldung ändern setzen. 2. Auf dem Windoze 2003 Server die Support-Tools von der Server CD installieren. 3. Dos-Box. Service Principal Name erzeugen: D:\zak\Support Tools\setspn a host/xms010.fqdn.de xms010 4. Erzeugen und exportieren des Keytab-files D:\zak\Support Tools\ktpass princ host/xms010.fqdn.de@FQDN.DE pass password mapuser xms010 out linux.keytab 5. Das erzeugte Keytab-file auf den Linux-Server kopieren That was the part on the Windows-Server. Now we`re switching to our favorite linux-machine. 2. Umbenennen der vom DC kopierten linux.keytab in krb5.keytab: # mv linux.keytab /etc/krb5.keytab 3. erstellen der /etc/krb5.conf [libdefaults] ticket_lifetime = 24000 default_realm = FQDN.DE dns_lookup_realm = false dns_lookup_kdc = false clockskew = 300 [realms] FQDN.DE = { kdc = tcp/ads_dc01.fqdn.de:88 admin_server = ads_dc01.fqdn.de:749 kpasswd_server = ads_dc01.fqdn.de default_domain = fqdn.de } [domain_realm] .fqdn.de = FQDN.de fqdn.de = FQDN.de [logging] default = SYSLOG:NOTICE:DAEMON kdc = FILE:/var/log/kdc.log kadmind = FILE:/var/log/kadmind.log [appdefaults] pam = { ticket_lifetime = 1d renew_lifetime = 1d forwardable = true proxiable = false retain_after_close = false minimum_uid = 0 debug = false krb4_convert = false } --------------------------------------------------------- fqdn =^ domain.name.de FQDN =^ DOMAIN.NAME.DE ads_dc01 = Windows Active Directory Domain Controller xms010 = Linux Mailserver I don`t know wether this settings are the most sophisticated, but for now it works. I´m using a cron to get a new tg-ticket. Greetings, Chris
Ich habe verwendet:
kinit -t /etc/krb5.keytab \ host/linuxrechner.fullqualifieddomain.org
Ist das noch korrekt? Ich bekomme nämlich als Antwort: kinit: krb5_get_init_creds: Additional pre-authentication required
[Zu diesem Zeitpunkt habe ich ein gültiges Ticket (Administrator) auf dem Linuxrechner]
Vielleicht liegt der Fehler ja auch vorher: unter W2K habe ich einen Benutzeraccount namens linux angelegt, und diesen mit Adminrechten versehen.
[Für diesen Account möchte ich nun ein keytabfile erzeugen, das ich auf den linuxrechner verschiebe und dann dort verwende.] --------------- ktpass -princ host/linuxrechner.fullqualifieddomain.org@fullqualifieddomain.org \ -mapuser linux -pass test123 -out linux.keytab ---------------------- Als antwort bekomme ich unter Windows in etwa: ----------------- Sucessfully mapped host/linuxrechner.fullqualifieddomain.org to \ user linux Key created Output to linux.keytab Keytab version keysize ... Account has been set for DES-only encryption
Danke für alle Hilfen!
P.S.: Ich habe aus Versehen diese Mail in Deutsch geschrieben, deswegen kriegst du sie mal zuerst, ich muss Sie nachher noch umtexten für die Liste
A following klist shows your current tgt.
Mit freundlichen Grüßen
Chris
-----Ursprüngliche Nachricht----- Von: Markus Feilner [mailto:lists@feilner-it.net] Gesendet: Dienstag, 17. Februar 2004 11:00 An: suse-security List Betreff: [suse-security] Samba 3.0, ADS, Kerberos
Hello List, I have successfully integrated samba to an Active Directory Domain, and it is authenticating against the ADS, but only while the Kerberos ticket is valid. After that period it seems to take only the user/group list from its (winbind) cache.
By now i can get a kerberos ticket with "kinit Administrator" or any other username that has administrative rights on ADS and all is fine. But after 8 hours this ticket is no longer valid. How can I renew or re-get an (new) ticket automatically?
I searched many sites and found several solutions, but
none worked.
Probably the best one is about keytabs, which I could generate on The Windows System, but kerberos does not seem to use them.
Most of the solutions I found are for MIT kerberos, but I use heimdal (as of SuSE 9.0), where e.g. the hints from new zealand's linux wiki (http://www.wlug.org.nz/ActiveDirectorySamba) don't work. They tell me to import the keytab file with ----------------- % ktutil ktutil: rkt mail.keytab ktutil: list ktutil: wkt /etc/krb5.keytab ktutil: q ------------------ But this does not work - not with ktutil and not with kadmin. Perhaps i missed something? Thanks a lot!!! -- Mit freundlichen Grüßen Markus Feilner -- Linux Solutions, Training, Seminare und Workshops - auch Inhouse Feilner IT Linux & GIS Erlangerstr. 2 93059 Regensburg fon: +49 941 70 65 23 - mobil: +49 170 302 709 2 web: http://feilner-it.net mail: mfeilner@feilner-it.net
-- Check the headers for your unsubscription address For additional commands, e-mail: suse-security-help@suse.com Security-related bug reports go to security@suse.de, not here
-- Mit freundlichen Grüßen Markus Feilner
Linux Solutions, Training, Seminare und Workshops - auch Inhouse Feilner IT Linux & GIS Erlangerstr. 2 93059 Regensburg fon: +49 941 70 65 23 - mobil: +49 170 302 709 2 web: http://feilner-it.net mail: mfeilner@feilner-it.net
Am Dienstag, 17. Februar 2004 16:57 schrieb Christian Lange:
Hello,
the following worked fine with my Windows-ADS-2003-Servers and my Linux Mailserver running SuSE 9.0 with Heimdahl Kerberos. Please excuse me, that i didn`t translate the extract from my personal-howto into english:
A. auf dem Windoze 2003 Server
1. Im AD wird ein Benutzer mit dem Account linux und dem Namen xms010 (nicht fqdn) erzeugt. Passworteigenschaften auf ..läuft nie ab und ... nicht bei der ersten Anmeldung ändern setzen.
2. Auf dem Windoze 2003 Server die Support-Tools von der Server CD installieren.
3. Dos-Box. Service Principal Name erzeugen:
D:\zak\Support Tools\setspn a host/xms010.fqdn.de xms010
4. Erzeugen und exportieren des Keytab-files
D:\zak\Support Tools\ktpass princ host/xms010.fqdn.de@FQDN.DE pass password mapuser xms010 out linux.keytab
5. Das erzeugte Keytab-file auf den Linux-Server kopieren
That was the part on the Windows-Server. Now we`re switching to our favorite linux-machine.
2. Umbenennen der vom DC kopierten linux.keytab in krb5.keytab:
# mv linux.keytab /etc/krb5.keytab
3. erstellen der /etc/krb5.conf
[libdefaults] ticket_lifetime = 24000 default_realm = FQDN.DE dns_lookup_realm = false dns_lookup_kdc = false clockskew = 300
[realms] FQDN.DE = { kdc = tcp/ads_dc01.fqdn.de:88 admin_server = ads_dc01.fqdn.de:749 kpasswd_server = ads_dc01.fqdn.de default_domain = fqdn.de }
[domain_realm] .fqdn.de = FQDN.de fqdn.de = FQDN.de
[logging] default = SYSLOG:NOTICE:DAEMON kdc = FILE:/var/log/kdc.log kadmind = FILE:/var/log/kadmind.log
[appdefaults] pam = { ticket_lifetime = 1d renew_lifetime = 1d forwardable = true proxiable = false retain_after_close = false minimum_uid = 0 debug = false krb4_convert = false }
---------------------------------------------------------
fqdn =^ domain.name.de FQDN =^ DOMAIN.NAME.DE ads_dc01 = Windows Active Directory Domain Controller xms010 = Linux Mailserver
I don`t know wether this settings are the most sophisticated, but for now it works. I´m using a cron to get a new tg-ticket.
Greetings,
Chris
Ich habe verwendet:
kinit -t /etc/krb5.keytab \ host/linuxrechner.fullqualifieddomain.org
Ist das noch korrekt? Ich bekomme nämlich als Antwort: kinit: krb5_get_init_creds: Additional pre-authentication required
[Zu diesem Zeitpunkt habe ich ein gültiges Ticket (Administrator) auf dem Linuxrechner]
Vielleicht liegt der Fehler ja auch vorher: unter W2K habe ich einen Benutzeraccount namens linux angelegt, und diesen mit Adminrechten versehen.
[Für diesen Account möchte ich nun ein keytabfile erzeugen, das ich auf den linuxrechner verschiebe und dann dort verwende.] --------------- ktpass -princ host/linuxrechner.fullqualifieddomain.org@fullqualifieddomain.org \ -mapuser linux -pass test123 -out linux.keytab ---------------------- Als antwort bekomme ich unter Windows in etwa: ----------------- Sucessfully mapped host/linuxrechner.fullqualifieddomain.org to \ user linux Key created Output to linux.keytab Keytab version keysize ... Account has been set for DES-only encryption
Danke für alle Hilfen!
P.S.: Ich habe aus Versehen diese Mail in Deutsch geschrieben, deswegen kriegst du sie mal zuerst, ich muss Sie nachher noch umtexten für die Liste
A following klist shows your current tgt.
Mit freundlichen Grüßen
Chris
-----Ursprüngliche Nachricht----- Von: Markus Feilner [mailto:lists@feilner-it.net] Gesendet: Dienstag, 17. Februar 2004 11:00 An: suse-security List Betreff: [suse-security] Samba 3.0, ADS, Kerberos
Hello List, I have successfully integrated samba to an Active Directory Domain, and it is authenticating against the ADS, but only while the Kerberos ticket is valid. After that period it seems to take only the user/group list from its (winbind) cache.
By now i can get a kerberos ticket with "kinit Administrator" or any other username that has administrative rights on ADS and all is fine. But after 8 hours this ticket is no longer valid. How can I renew or re-get an (new) ticket automatically?
I searched many sites and found several solutions, but
none worked.
Probably the best one is about keytabs, which I could generate on The Windows System, but kerberos does not seem to use them.
Most of the solutions I found are for MIT kerberos, but I use heimdal (as of SuSE 9.0), where e.g. the hints from new zealand's linux wiki (http://www.wlug.org.nz/ActiveDirectorySamba) don't work. They tell me to import the keytab file with ----------------- % ktutil ktutil: rkt mail.keytab ktutil: list ktutil: wkt /etc/krb5.keytab ktutil: q ------------------ But this does not work - not with ktutil and not with kadmin. Perhaps i missed something? Thanks a lot!!! -- Mit freundlichen Grüßen Markus Feilner -- Linux Solutions, Training, Seminare und Workshops - auch Inhouse Feilner IT Linux & GIS Erlangerstr. 2 93059 Regensburg fon: +49 941 70 65 23 - mobil: +49 170 302 709 2 web: http://feilner-it.net mail: mfeilner@feilner-it.net
-- Check the headers for your unsubscription address For additional commands, e-mail: suse-security-help@suse.com Security-related bug reports go to security@suse.de, not here
-- Mit freundlichen Grüßen Markus Feilner
Linux Solutions, Training, Seminare und Workshops - auch Inhouse Feilner IT Linux & GIS Erlangerstr. 2 93059 Regensburg fon: +49 941 70 65 23 - mobil: +49 170 302 709 2 web: http://feilner-it.net mail: mfeilner@feilner-it.net Thanks a lot, Chris, I 'll try that and give feedback! -- Mit freundlichen Grüßen Markus Feilner -- Linux Solutions, Training, Seminare und Workshops - auch Inhouse Feilner IT Linux & GIS Erlangerstr. 2 93059 Regensburg fon: +49 941 70 65 23 - mobil: +49 170 302 709 2 web: http://feilner-it.net mail: mfeilner@feilner-it.net
Hello, Markus Feilner wrote:
[Full quote deleted] Thanks a lot, Chris, I 'll try that and give feedback!
since you are german: http://learn.to/quote - especially 2.1. GTi
Am Mittwoch, 18. Februar 2004 18:32 schrieb Martin Peikert:
Hello,
Markus Feilner wrote:
[Full quote deleted] Thanks a lot, Chris, I 'll try that and give feedback!
since you are german: http://learn.to/quote - especially 2.1.
GTi
ACK, Sorry! -- Mit freundlichen Grüßen Markus Feilner -- Linux Solutions, Training, Seminare und Workshops - auch Inhouse Feilner IT Linux & GIS Erlangerstr. 2 93059 Regensburg fon: +49 941 70 65 23 - mobil: +49 170 302 709 2 web: http://feilner-it.net mail: mfeilner@feilner-it.net
participants (3)
-
Christian Lange -
Markus Feilner -
Martin Peikert