Re: [obsdfr-misc] AFS et Kerberos (Heimdal)

["Nicolas Caillaud" <nicolas AT lautrecote POINT org>]

> Nicolas Caillaud(nicolas AT lautrecote POINT org)@2006.12.28 09:17:30 +0100 wrote:
>> Bonjour à tous
>>
>> Nouveau sur cette liste, j'utilise OpenBSD depuis quelques années, avec
>> l'installation "standard", et donc peu de problèmes (merci à tous ceux
>> (et
>> celles ?) qui travaillent pour cela).
>>
>> Mon serveur est en 4.0, j'utilise heimdal pour l'authentification.
>> J'ai installé récemment openafs, à partir du package
>> openafs-1.4.0p4.tgz.
>>
>> Les deux fonctionnent, à savoir que je suis capable de me connecter à
>> partir du serveur, à partir d'un machine de mon réseau local. Je suis,
>> de
>> plus, capable de me connecter sur le système de fichier AFS (via klog).
>>
>> Par contre, je n'arrive pas à récupérer automatiquement un "ticket" AFS
>> à
>> partir de la connexion kerberos (euh je ne suis pas sûr d'employer les
>> bons termes ...).
>
> Récupères-tu un ticket AFS si tu utilises kinit (éventuellement avec
> l'option --afslog)? Où est-ce justement ton problème?
>
> Chez moi par exemple:
> % kinit
> nbernard AT LAFRAZE POINT NET's Password:
> kinit: NOTICE: ticket renewable lifetime is 1 week
>
> % klist
> Credentials cache: FILE:/tmp/krb5cc_1000
>         Principal: nbernard AT LAFRAZE POINT NET
>
>   Issued           Expires          Principal
> Dec 28 09:58:11  Dec 28 19:58:10  krbtgt/LAFRAZE POINT NET AT LAFRAZE.NET
> Dec 28 09:58:11  Dec 28 19:58:10  afs/lafraze POINT net AT LAFRAZE.NET
>

Quand je me connecte, klist me répond :
klist: No ticket file: /tmp/krb5cc_1000

entre parenthèses, cela me paraît étrange, cela semblerait vouloir dire
que je n'ai même pas de ticket kerberos ?

ensuite
kinit
nicolas AT HOME POINT LAUTRECOTE.ORG's Password:
je tape mon mot de passe

klist me répond
Credentials cache: FILE:/tmp/krb5cc_1000
        Principal: nicolas AT HOME POINT LAUTRECOTE.ORG

  Issued           Expires          Principal
Dec 28 11:13:12  Dec 28 21:13:12 
krbtgt/HOME POINT LAUTRECOTE.ORG AT HOME.LAUTRECOTE.ORG


klist -T (sensé me donner aussi les tickets AFS) me répond la même chose
et de fait, je suis toujours en read-only sur ma cellule ....

quand je fais klog (avec mon mot de passe) puis klist -T :

Credentials cache: FILE:/tmp/krb5cc_1000
        Principal: nicolas AT HOME POINT LAUTRECOTE.ORG

  Issued           Expires          Principal
Dec 28 11:13:12  Dec 28 21:13:12 
krbtgt/HOME POINT LAUTRECOTE.ORG AT HOME.LAUTRECOTE.ORG

Dec 28 11:14:40  Dec 29 12:41:01  User's (AFS ID 1000) tokens for
home.lautrecote.org

et là, j'ai bien un ticket AFS, et je suis en read-write sur ma cellule AFS

-------
le fait qu'après ma connection, klist me dise qu'il n'a pas de "ticket
file" me fait me poser plein de questions ...
pourtant je ne doute pas d'etre connecté via kerberos puisque dans
/etc/login.conf, je ne spécifie que "krb5" :


# Default authentication methods
auth-defaults:auth=krb5:

# Default authentication methods for ftp
auth-ftp-defaults:auth-ftp=passwd:

#
# The default values
# To alter the default authentication types change the line:
#       :tc=auth-defaults:\
# to be read something like: (enables passwd, "myauth", and activ)
#       :auth=passwd,myauth,activ:\
# Any value changed in the daemon class should be reset in default
# class.
#
default:\
        :path=/usr/bin /bin /usr/sbin /sbin /usr/X11R6/bin /usr/local/bin:\
        :umask=022:\
        :datasize-max=256M:\
        :datasize-cur=64M:\
        :maxproc-max=128:\
        :maxproc-cur=64:\
        :openfiles-cur=10240:\
        :stacksize-cur=4M:\
        :localcipher=blowfish,6:\
        :ypcipher=old:\
        :tc=auth-defaults:\
        :tc=auth-ftp-defaults: