kerberos et compte local

Le
Nicolas.MICHEL
Bonjour

Y a-t-il moyen d'obtenir un ticket kerberos au login d'un compte local ?
Et celà est-il possible via wifi ?

Il s'agit d'un domaine AD dont le dns a des problèmes de conceptions et
dans un réseau fractionné que je ne pourrai pas améliorer.

Donc je me demande s'il y a moyen de faire que lorsqu'un utilisateur
ayant un compte local dont le username et le passwd sont identiques à
celui du domaine, le username et passwd soient "récupérés" pour une
demande de ticket krb5.

Il me semble qu'on peut faire ce genre de truc sous linux avec pam, mais
quid de Mac OS X ?


Merci d'avance :)
--
Nicolas
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
laurent.pertois
Le #2269841
Nicolas MICHEL
Il me semble qu'on peut faire ce genre de truc sous linux avec pam, mais
quid de Mac OS X ?


/etc/authorization est déjà configuré pour cela depuis la 10.3,
normalement :

<dict>
<key>class</key>
<string>evaluate-mechanisms</string>
<key>comment</key>
<string>builtin:krb5login can be used to do
kerberos authentication as a side-effect of logging in. Local
username/password will be used.</string>
<key>mechanisms</key>
<array/>
</dict>

Mais, il faut, sjmsb, que tes utilisateurs locaux aient le même nom/mot
de passe que dans le KDC. A vérifier.

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.

Nicolas.MICHEL
Le #2269751
Laurent Pertois
/etc/authorization est déjà configuré pour cela depuis la 10.3,
normalement :
[snip]


Merci !

--
Nicolas

Nicolas.MICHEL
Le #2412231
Laurent Pertois
Nicolas MICHEL
Il me semble qu'on peut faire ce genre de truc sous linux avec pam, mais
quid de Mac OS X ?


/etc/authorization est déjà configuré pour cela depuis la 10.3,
[snip]


Mais, il faut, sjmsb, que tes utilisateurs locaux aient le même nom/mot
de passe que dans le KDC. A vérifier.


Bien des semaines après ta réponse, j'ai finit par prendre le temps de
le faire. Donc ma machine est bindée dans l'AD pour la config auto du
kerberos et l'Address Book
Mais je ne fais pas d'authentification via le plugin AD.

Par défaut le système ne prends pas de ticket dans le domaine kerberos
lors du login.

Mais ça le fait en ajoutant une ligne dans /etc/authorization :

[snip]
<string>authinternal</string>
<string>builtin:krb5authnoverify,privileged</string>
<string>builtin:getuserinfo,privileged</string>

Donc j'ai juste ajouté la ligne krb5authnoverify entre les 2 autres.
Au login j'obtiens un ticket et donc du single sign on.
L'aventage de cette méthode par rapport à un login via le plug-in AD est
relatif, mais perso je ne pouvais pas utiliser pleinement ARD avec un
compte de l'AD (plein de fonctions grisées) alors qu'à présent ça
marche à 100%.

Merci Laurent :)

--
Nicolas


laurent.pertois
Le #2412061
Nicolas MICHEL
Merci Laurent :)


Mais de rien :-D

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.

Publicité
Poster une réponse
Anonyme