Y a-t-il moyen d'obtenir un ticket kerberos au login d'un compte local ?
Et celà est-il possible via wifi ?
Il s'agit d'un domaine AD dont le dns a des problèmes de conceptions et
dans un réseau fractionné que je ne pourrai pas améliorer.
Donc je me demande s'il y a moyen de faire que lorsqu'un utilisateur
ayant un compte local dont le username et le passwd sont identiques à
celui du domaine, le username et passwd soient "récupérés" pour une
demande de ticket krb5.
Il me semble qu'on peut faire ce genre de truc sous linux avec pam, mais
quid de Mac OS X ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
laurent.pertois
Nicolas MICHEL wrote:
Il me semble qu'on peut faire ce genre de truc sous linux avec pam, mais quid de Mac OS X ?
/etc/authorization est déjà configuré pour cela depuis la 10.3, normalement :
<key>system.login.done</key> <dict> <key>class</key> <string>evaluate-mechanisms</string> <key>comment</key> <string>builtin:krb5login can be used to do kerberos authentication as a side-effect of logging in. Local username/password will be used.</string> <key>mechanisms</key> <array/> </dict>
Mais, il faut, sjmsb, que tes utilisateurs locaux aient le même nom/mot de passe que dans le KDC. A vérifier.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Nicolas MICHEL <Nicolas.MICHEL@BonBon.net> wrote:
Il me semble qu'on peut faire ce genre de truc sous linux avec pam, mais
quid de Mac OS X ?
/etc/authorization est déjà configuré pour cela depuis la 10.3,
normalement :
<key>system.login.done</key>
<dict>
<key>class</key>
<string>evaluate-mechanisms</string>
<key>comment</key>
<string>builtin:krb5login can be used to do
kerberos authentication as a side-effect of logging in. Local
username/password will be used.</string>
<key>mechanisms</key>
<array/>
</dict>
Mais, il faut, sjmsb, que tes utilisateurs locaux aient le même nom/mot
de passe que dans le KDC. A vérifier.
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Il me semble qu'on peut faire ce genre de truc sous linux avec pam, mais quid de Mac OS X ?
/etc/authorization est déjà configuré pour cela depuis la 10.3, normalement :
<key>system.login.done</key> <dict> <key>class</key> <string>evaluate-mechanisms</string> <key>comment</key> <string>builtin:krb5login can be used to do kerberos authentication as a side-effect of logging in. Local username/password will be used.</string> <key>mechanisms</key> <array/> </dict>
Mais, il faut, sjmsb, que tes utilisateurs locaux aient le même nom/mot de passe que dans le KDC. A vérifier.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Nicolas.MICHEL
Laurent Pertois wrote:
/etc/authorization est déjà configuré pour cela depuis la 10.3, normalement : [snip]
/etc/authorization est déjà configuré pour cela depuis la 10.3, normalement : [snip]
Merci !
-- Nicolas
Nicolas.MICHEL
Laurent Pertois wrote:
Nicolas MICHEL wrote:
Il me semble qu'on peut faire ce genre de truc sous linux avec pam, mais quid de Mac OS X ?
/etc/authorization est déjà configuré pour cela depuis la 10.3, [snip]
Mais, il faut, sjmsb, que tes utilisateurs locaux aient le même nom/mot de passe que dans le KDC. A vérifier.
Bien des semaines après ta réponse, j'ai finit par prendre le temps de le faire. Donc ma machine est bindée dans l'AD pour la config auto du kerberos et l'Address Book Mais je ne fais pas d'authentification via le plugin AD.
Par défaut le système ne prends pas de ticket dans le domaine kerberos lors du login.
Mais ça le fait en ajoutant une ligne dans /etc/authorization :
Donc j'ai juste ajouté la ligne krb5authnoverify entre les 2 autres. Au login j'obtiens un ticket et donc du single sign on. L'aventage de cette méthode par rapport à un login via le plug-in AD est relatif, mais perso je ne pouvais pas utiliser pleinement ARD avec un compte de l'AD (plein de fonctions grisées) alors qu'à présent ça marche à 100%.
Il me semble qu'on peut faire ce genre de truc sous linux avec pam, mais
quid de Mac OS X ?
/etc/authorization est déjà configuré pour cela depuis la 10.3,
[snip]
Mais, il faut, sjmsb, que tes utilisateurs locaux aient le même nom/mot
de passe que dans le KDC. A vérifier.
Bien des semaines après ta réponse, j'ai finit par prendre le temps de
le faire. Donc ma machine est bindée dans l'AD pour la config auto du
kerberos et l'Address Book
Mais je ne fais pas d'authentification via le plugin AD.
Par défaut le système ne prends pas de ticket dans le domaine kerberos
lors du login.
Mais ça le fait en ajoutant une ligne dans /etc/authorization :
Donc j'ai juste ajouté la ligne krb5authnoverify entre les 2 autres.
Au login j'obtiens un ticket et donc du single sign on.
L'aventage de cette méthode par rapport à un login via le plug-in AD est
relatif, mais perso je ne pouvais pas utiliser pleinement ARD avec un
compte de l'AD (plein de fonctions grisées) alors qu'à présent ça
marche à 100%.
Il me semble qu'on peut faire ce genre de truc sous linux avec pam, mais quid de Mac OS X ?
/etc/authorization est déjà configuré pour cela depuis la 10.3, [snip]
Mais, il faut, sjmsb, que tes utilisateurs locaux aient le même nom/mot de passe que dans le KDC. A vérifier.
Bien des semaines après ta réponse, j'ai finit par prendre le temps de le faire. Donc ma machine est bindée dans l'AD pour la config auto du kerberos et l'Address Book Mais je ne fais pas d'authentification via le plugin AD.
Par défaut le système ne prends pas de ticket dans le domaine kerberos lors du login.
Mais ça le fait en ajoutant une ligne dans /etc/authorization :
Donc j'ai juste ajouté la ligne krb5authnoverify entre les 2 autres. Au login j'obtiens un ticket et donc du single sign on. L'aventage de cette méthode par rapport à un login via le plug-in AD est relatif, mais perso je ne pouvais pas utiliser pleinement ARD avec un compte de l'AD (plein de fonctions grisées) alors qu'à présent ça marche à 100%.
Merci Laurent :)
-- Nicolas
laurent.pertois
Nicolas MICHEL wrote:
Merci Laurent :)
Mais de rien :-D
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Nicolas MICHEL <Nicolas.MICHEL@BonBon.net> wrote:
Merci Laurent :)
Mais de rien :-D
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
