Re: [obsdfr-misc] AFS et Kerberos (Heimdal)

["Nicolas Caillaud" <nicolas AT lautrecote POINT org>]

>> Re,
>>
>>> kinit
>>> nicolas AT HOME POINT LAUTRECOTE.ORG's Password:
>>> je tape mon mot de passe
>>>
>>> klist me répond
>>> Credentials cache: FILE:/tmp/krb5cc_1000
>>>         Principal: nicolas AT HOME POINT LAUTRECOTE.ORG
>>>
>>>   Issued           Expires          Principal
>>> Dec 28 11:13:12  Dec 28 21:13:12
>>> krbtgt/HOME POINT LAUTRECOTE.ORG AT HOME.LAUTRECOTE.ORG
>>>
>>>
>>> klist -T (sensé me donner aussi les tickets AFS) me répond la même
>>> chose
>>> et de fait, je suis toujours en read-only sur ma cellule ....
>>
>> Et si au lieu de kinit, tu utilises "kinit --afslog", ou que tu lances
>> "afslog" après le kinit, obtiens-tu le ticket AFS?
>>
>
> quand je lance afslog après kinit, je me fais insulter :
> afslog: krb5_afslog(<default cell>): Server not found in Kerberos database
>
> PS si je lance afslog home.lautrecote.org, l'insulte n'est pas
> fondamentalement différente :
> afslog: krb5_afslog(home.lautrecote.org): Server not found in Kerberos
> database
>
>
> pourtant,
> $ cat /etc/kerberosV/krb5.conf
>
>
> [libdefaults]
>         # Set the realm of this host here
>         default_realm = HOME.LAUTRECOTE.ORG
>
>         # Maximum allowed time difference between KDC and this host
>         clockskew = 300
>
>         # Uncomment this if you run NAT on the client side of kauth.
>         # This may be considered a security issue though.
>         # no-addresses = yes
>
> [realms]
>         HOME.LAUTRECOTE.ORG = {
>                 default_domain = home.lautrecote.org
>                 # Specify KDC here
>                 kdc = kerberos.home.lautrecote.org
>
>                 # Administration server, used for creating users etc.
>                 admin_server = kerberos.home.lautrecote.org
>                 kpasswd_server = kerberos.home.lautrecote.org
>         }
>
> ## This sections describes how to figure out a realm given a DNS name
> [domain_realm]
>         .home.lautrecote.org = HOME.LAUTRECOTE.ORG
>         home.lautrecote.org = HOME.LAUTRECOTE.ORG
>
>
> [kadmin]
>         # This is the trickiest part of a Kerberos installation. See the
>         # heimdal infopage for more information about encryption types.
>
>         # For a k5 only realm, this will be fine
>         default_keys = v5
>
> [logging]
>         # The KDC logs by default, but it's nice to have a kadmind log as
> well.
>         kadmind = FILE:/var/heimdal/kadmind.log
>
>
> l'hôte kerberos.home.lautrecote.org est défini :
> $ host kerberos.home.lautrecote.org
> kerberos.home.lautrecote.org has address 192.168.25.4
>


J'avance !
il faut créer un principal afs/<cell>

$ kadmin -l
kadmin> add --random-key afs/home.lautrecote.org
Max ticket life [1 day]:unlimited
Max renewable life [1 week]:unlimited
Principal expiration time [never]:
Password expiration time [never]:
Attributes []:
kadmin> ext afs/home.lautrecote.org
kadmin> exit


et à la "connection" suivante :
klist -T ne me répond rien
mais après kinit :
$klist -T me dit

Credentials cache: FILE:/tmp/krb5cc_1000
        Principal: nicolas AT HOME POINT LAUTRECOTE.ORG

  Issued           Expires          Principal
Dec 28 12:25:11  Dec 28 22:25:11 
krbtgt/HOME POINT LAUTRECOTE.ORG AT HOME.LAUTRECOTE.ORG
Dec 28 12:30:53  Dec 28 22:25:11  afs/home POINT lautrecote.org AT HOME.LAUTRECOTE.ORG

Dec 28 12:30:53  Dec 28 22:25:52  User's (AFS ID 1000) tokens for
home.lautrecote.org

et
$ afslog ne m'insulte plus .... mais je suis toujours en read-only sur ma
cellule :-(

Nicolas