[Linuxtrent] Client Ubuntu autenticato tramite Kerberos
- From: Marco Agostini <comunelevico@xxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Thu, 19 Aug 2010 15:10:55 +0200
Ciao, in questi giorni sto' smanettando per capire bene come integrare
un client Linux (nello specifico una Ubuntu 9.04) per sfruttare il SSO
(single sign on) di Microsoft attraverso Kerberos.
OK... parecchia carne al fuoco, ma penso di averci finalmente fatto il
giro.... quantomeno dal punto di vista teorico.
Ho fatto così:
#apt-get install ntp
#apt-get install samba-common winbind
#apt-get install krb5-user krb5-config krb5-doc libpam-krb5
configurato il file /etc/krb5.conf per fargli usare il REALM Kerberos
del mio dominio (Windows 2000 Active Directory)
configurato il file /etc/samba/smb.conf e aggiunto correttamente il
client al dominio
modificati i file nella cartella /etc/pam.d nel modo seguente per
fargli usare kerberos
# /etc/pam.d/common-auth
auth sufficient pam_krb5.so ccache=/tmp/krb5cc_%u
auth sufficient pam_unix.so likeauth nullok_secure use_first_pass
auth required pam_deny.so
# /etc/pam.d/common-account
account required pam_unix.so
account [default=bad success=ok user_unknown=ignore service_err=ignore
system_err=ignore] pam_krb5.so minimum_uid=10000
# /etc/pam.d/common-session
session required pam_unix.so
session optional pam_foreground.so
session optional pam_krb5.so minimum_uid=10000
session required pam_mkhomedir.so umask=0077 skel=/etc/skel
modificato il file /etc/nsswitch.conf per winbind
# /etc/nsswitch.conf
passwd compat winbind
group compat winbind
e riavvio il servizio winbind.
Faccio un pò di test tramite i comandi "getent passwd", "wbinfo -u" e
tutto sembra funzionare correttamente.
Richiedo un ticket a kerberos tramite un "kinit -V pippo" e me lo
ritrovo correttamente se faccio un "klist".
Provo a connettermi tramite ssh utilizzando un utente del dominio e
tutto funziona correttamente.
OK... tutto sembra a posto.
** QUESTO IL MIO PROBLEMA ** :
Faccio un riavvio del mio client Ubuntu e alla richiesta utente e
password (dall'interfaccia grafica) non riesco ad autenticarmi....
aspetto circa 30 secondi
ridigito utente e password (gli stessi) e questa volta riesco a
connettermi correttamente.
Credo che il problema sia dovuto al fatto che winbind non è ancora
partito quando digito utente e password la prima volta.
Come posso fare in modo che winbind parta prima del server grafico e
della richiesta della login ?
Qualsiasi suggerimento è ben accetto.... o se stò vaneggiando fatemelo sapere.
grazie mille.
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts:
