Re: [opensuse-es] Samba4 y kerberos y Solucionado
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Te olvidaste de enviar el correo a la lista, sólo lo enviaste a mi correo privado. Contesto a la lista para que otros puedan comentar. El 2015-09-29 a las 12:21 -0400, Informatico Neurodesarrollo escribió:
El 2015-09-29 a las 10:11 -0400, Informatico Neurodesarrollo escribió:
Y /run/user/0/krb5cc existe?
No existe
Eso no tiene nada que ver con puertos abiertos, no va por ahí la cosa.
El SAMBA no provee toda esa infraestructura?
Pues no lo se. El directorio "/run/user/0/" pertenece al usuario root. El krb5cc parece que pertenece a kerberos.
Se me alumbró el bombillo, cree a mano la estructura del directorio (#mkdir /run/user/0/krb5cc) y funcionó sin problemas. ¡No me imaginaba que podía ser tan fácil la solución!, siempre pensé que tenía que ser por un programa para que lo creara y toda esa candanga.
Bueno, es una solución provisional, porque el directorio /run sólo existe en ram, y tendrás que crearlo en cada arranque. Habría que averiguar quien (qué) tiene que crear realmente ese fichero. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.22 (GNU/Linux) iF4EAREIAAYFAlYKx6sACgkQja8UbcUWM1ztvQD/Z3t76TOb/q/xh30J/fKiK9rE +AJV3b7M4eY6YGCHYvgA/R9K/fAlC0i2ucvXOGKPX68QQF3dT4+69BGU38OWXU5H =9xMm -----END PGP SIGNATURE-----
El 29/09/15 a las 13:17, Carlos E. R. escribió:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Te olvidaste de enviar el correo a la lista, sólo lo enviaste a mi correo privado. Contesto a la lista para que otros puedan comentar.
El 2015-09-29 a las 12:21 -0400, Informatico Neurodesarrollo escribió:
El 2015-09-29 a las 10:11 -0400, Informatico Neurodesarrollo escribió:
Y /run/user/0/krb5cc existe?
No existe
Eso no tiene nada que ver con puertos abiertos, no va por ahí la cosa.
El SAMBA no provee toda esa infraestructura?
Pues no lo se.
El directorio "/run/user/0/" pertenece al usuario root. El krb5cc parece que pertenece a kerberos.
Se me alumbró el bombillo, cree a mano la estructura del directorio (#mkdir /run/user/0/krb5cc) y funcionó sin problemas. ¡No me imaginaba que podía ser tan fácil la solución!, siempre pensé que tenía que ser por un programa para que lo creara y toda esa candanga.
Bueno, es una solución provisional, porque el directorio /run sólo existe en ram, y tendrás que crearlo en cada arranque. Habría que averiguar quien (qué) tiene que crear realmente ese fichero.
Positivo Carlos, revisé el directorio y automáticamente lo borró, habrá que seguir indagando. Hay una utilidad que es: samba_kcc, no sé si por ahí le entrará el agua al coco?, seguiremos informando. Seguimos en contacto. PD. Lo que me llama la atención es que en ninguno de los tutoriales (hasta para opensuse), solo dicen lo de la configuración del krb5.conf en etc y ya???? -- Jesús Reyes Piedra Admin Red Neurodearrollo,Cárdenas La caja decía:"Requiere windows 95 o superior"... Entonces instalé LINUX. -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Content-ID:
El 29/09/15 a las 13:17, Carlos E. R. escribió:
PD. Lo que me llama la atención es que en ninguno de los tutoriales (hasta para opensuse), solo dicen lo de la configuración del krb5.conf en etc y ya????
¿Tienes acceso a google? Entonces busca "/run/user/0/krb5cc". He echado un vistazo rápido y he visto varias entradas. Alguna en la lista de correo de factory, alguna en el bugzilla de redhat, en la lista de correo de samba... Yo ahora mismo tengo un internet bastante limitado, así que no he mirado los detalles, pero podrías encontrar algo. Lo que he visto por encima parece el mismo problema que tienes. Si no tienes acceso, dilo y yo o algún otro acá podemos mirarlo. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.22 (GNU/Linux) iF4EAREIAAYFAlYLRN8ACgkQja8UbcUWM1wOxQEAjV+4C3/EaDzFG1jyxx7VV/aY LTdXNejcSbPz/XyrpFwA/0n0MymYZyvsATmV4QIkqpNiOGwOgjSZkVL5VY8ZjJQ0 =+39H -----END PGP SIGNATURE-----
No tengo. Saludos El 29/09/15 a las 22:11, Carlos E. R. escribió:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Content-ID:
El 2015-09-29 a las 14:43 -0400, Informatico Neurodesarrollo escribió:
El 29/09/15 a las 13:17, Carlos E. R. escribió:
PD. Lo que me llama la atención es que en ninguno de los tutoriales (hasta para opensuse), solo dicen lo de la configuración del krb5.conf en etc y ya????
¿Tienes acceso a google? Entonces busca "/run/user/0/krb5cc". He echado un vistazo rápido y he visto varias entradas. Alguna en la lista de correo de factory, alguna en el bugzilla de redhat, en la lista de correo de samba... Yo ahora mismo tengo un internet bastante limitado, así que no he mirado los detalles, pero podrías encontrar algo. Lo que he visto por encima parece el mismo problema que tienes.
Si no tienes acceso, dilo y yo o algún otro acá podemos mirarlo.
- -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.22 (GNU/Linux)
iF4EAREIAAYFAlYLRN8ACgkQja8UbcUWM1wOxQEAjV+4C3/EaDzFG1jyxx7VV/aY LTdXNejcSbPz/XyrpFwA/0n0MymYZyvsATmV4QIkqpNiOGwOgjSZkVL5VY8ZjJQ0 =+39H -----END PGP SIGNATURE-----
-- Jesús Reyes Piedra Admin Red Neurodearrollo,Cárdenas La caja decía:"Requiere windows 95 o superior"... Entonces instalé LINUX. -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Content-ID:
El 29/09/15 a las 22:11, Carlos E. R. escribió:
Si no tienes acceso, dilo y yo o algún otro acá podemos mirarlo.
No tengo.
Saludos
Pues el asunto viene del 2013.
[opensuse-factory] ERROR: /run/user/0/ does not exist
From: lynn
Does setting default_ccache_name to old default in krb5.conf work? It is more simple and note that /run/user/$UID is removed when all user sessions are closed.
Hi
OK. I had an old build of factory. I now have krb5 1.13 from a zypper
dup and indeed:
[libdefaults]
default_ccache_name = /tmp/krb5cc_%{uid}
Solves the problem. The cache is now produced as in the good old days
under /tmp.
- -----------------------------++-
+++-----------------------------
From: Andrey Borzenkov
I am not convinced that using /tmp is correct... probably we need to modify the default to /run/krb5/$something and allow that directory only to be written and/or read by root...
Credentials cache must be accessible by user whom it belongs.
using named files in /tmp for this purpose looks like a security hole from here.
cifs.upcall actually relies on it being in /tmp because it has to
search for it (there is no interface to pass location between kernel
and upcall).
But in case of systemd using /tmp is in generally wrong
(/tmp can be private) and using /run/user/$UID is wrong as well because
it does not survive session end. So we need some per-user persistent
directory that exists at least as long as system is running.
- -----------------------------++-
+++-----------------------------
From: lynn
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 El 2015-09-30 a las 15:46 +0200, Carlos E. R. escribió:
Finalmente creó un bugzilla:
https://bugzilla.novell.com/show_bug.cgi?id=844198 https://bugzilla.opensuse.org/show_bug.cgi?id=844198
¿Tienes acceso ahí?
Los comentarios son largos. Parece que se solucionó finalmente en la 13.2, el 2015-04-09, al menos oficialmente. Otros discrepan.
El último comentario es muy interestante, y se escribió hace sólo unos dias: Comment 19 Joschi Brauchle 2015-09-22 20:53:34 UTC Hello Howard, I'm personally okay with the solution path that was taken. But I simply wonder, why one would continue to use file-based storage of kerberos credentials at all. This whole problem discussed in this thread simply arises from the fact that the system is configured to store user kerberos credential caches in a file, or a directory structure to be more precise. This directory structure must be created, maintained and removed. If this does not happen, old caches will linger around indefinitely, waiting for an administrator to remove them. I.e., manual intervention is required. On the other hand, SSSD and Kerberos libraries used by openSUSE offer the functionality to store kerberos credential caches in the kernel keyring, even in a persistant manner, if needed. In my view, the kernel keyring is not only the natural place to store user credentials (files are simply to insecure!) and also immediately solve all problems discussed here, because there is simply no need to create, maintain and remove any files by anyone - its all done by the kernel for you. No old caches stick around, because the kernel removes them one they expire. So, to cut a long story short: File based credential caching is a thing of the past (in my view). The solution path taken here will sooner or later be changed to kernel keyring. So, why not just do it right now? We are running more than 50 workstations and servers at our institution w/ openSUSE 13.2 and kernel keyring caches without problem. It just takes 2 lines in /etc/sssd/sssd.conf and all is well. It should simply be the default for openSUSE right away. If a user needs file based caches for some reason, it is reverted back to the old (bad) behaviour in no time ... - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.22 (GNU/Linux) iF4EAREIAAYFAlYL6hcACgkQja8UbcUWM1ztvwD+MGl6A7CLXYPJ5wVhKL4Hb6lr CDGm+3jrXlR9ZjXkYTkA/A0CEAgbtKPT4w1qqVfOycQ1YhnvkPGiAGrT5nPDuTW4 =BL/J -----END PGP SIGNATURE-----
Saludos Carlos: Muchas gracias, ya solucioné el problema gracias al bugzilla que me enviaste y la solución la dió este colega: Joschi Brauchle que pongo al final de mi comentario para compartirlo con los de la lista y funciona al 200%. Y gracias nuevamente por emplear parte de tu tiempo para ayudarme. Seguimos en contacto Comment 9 Joschi Brauchle 2014-11-13 07:25:45 UTC (In reply to Joschi Brauchle from comment #8)
I pledge for openSUSE to also move to /var/run/user/$UID as default credential cache for all services, as this seems the common way to go.
Correction: It looks like DIR type ccaches are already a thing of the past and SSSD=1.12 & KRB=1.12 and have moved to storing ccaches in the kernel keyring. This can be achieved in openSUSE 13.2 like to: ------- /etc/krb5.conf -------- [libdefaults] default_ccache_name = KEYRING:persistent:%{uid} ------- /etc/krb5.conf -------- ------- /etc/sssd/sssd.conf -------- [domain/default] krb5_ccname_template = KEYRING:persistent:%U ------- /etc/sssd/sssd.conf -------- This should fix the problem if directories not existing permanently, as the kernel keyring is always available. -- Jesús Reyes Piedra Admin Red Neurodearrollo,Cárdenas La caja decía:"Requiere windows 95 o superior"... Entonces instalé LINUX. -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Saludos Carlos: Muchas gracias, ya solucioné el problema gracias al bugzilla que me enviaste y la solución la dió este colega: Joschi Brauchle que pongo al final de mi comentario para compartirlo con los de la lista y funciona al 200%. Y gracias nuevamente por emplear parte de tu tiempo para ayudarme. Seguimos en contacto Comment 9 Joschi Brauchle 2014-11-13 07:25:45 UTC (In reply to Joschi Brauchle from comment #8)
I pledge for openSUSE to also move to /var/run/user/$UID as default credential cache for all services, as this seems the common way to go.
Correction: It looks like DIR type ccaches are already a thing of the past and SSSD=1.12 & KRB=1.12 and have moved to storing ccaches in the kernel keyring. This can be achieved in openSUSE 13.2 like to: ------- /etc/krb5.conf -------- [libdefaults] default_ccache_name = KEYRING:persistent:%{uid} ------- /etc/krb5.conf -------- ------- /etc/sssd/sssd.conf -------- [domain/default] krb5_ccname_template = KEYRING:persistent:%U ------- /etc/sssd/sssd.conf -------- This should fix the problem if directories not existing permanently, as the kernel keyring is always available. -- Jesús Reyes Piedra Admin Red Neurodearrollo,Cárdenas La caja decía:"Requiere windows 95 o superior"... Entonces instalé LINUX. -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 El 2015-09-30 a las 15:11 -0400, Informatico Neurodesarrollo escribió:
Saludos Carlos:
Muchas gracias, ya solucioné el problema gracias al bugzilla que me enviaste y la solución la dió este colega: Joschi Brauchle que pongo al final de mi comentario para compartirlo con los de la lista y funciona al 200%.
Fantástico :-)
Y gracias nuevamente por emplear parte de tu tiempo para ayudarme. Seguimos en contacto
De nada. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.22 (GNU/Linux) iF4EAREIAAYFAlYMaQoACgkQja8UbcUWM1wzEQD9H+Bg374wrTdmM06f28OmP4tq lVXEGLcTbbPV8GPsnLsBAJfO50TJSqmiXVvkHyj/ylVDJ0rzXFO+sHB1jcQuX/aS =L0JI -----END PGP SIGNATURE-----
participants (2)
-
Carlos E. R.
-
Informatico Neurodesarrollo