|
|
|
Multi-domaine
Problème :
- Un serveur NFSv4 dans le domaine INTRANET
- Un utilisateur d'un autre domaine que INTRANET désirant accéder au serveur NFSv4
Solution :
Il faut modifier le contenu du fichier /etc/krb5.conf sur la machine cliente depuis laquelle l'utilisateur veut se connecter. On doit ajouter les informations nécessaires concernant le domaine dans lequelle l'utilisateur se trouve pour que celui-ci puisse arriver à s'authentifier correctement.
Voilà à quoi le fichier ressemblera si l'on configure également le domaine SCX (seule la partie en bleu a besoin d'être ajoutée).
[Logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = EPFL.CH
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes
default_keytab_name = FILE:/etc/krb5.keytab
default_tkt_enctypes = des-cbc-crc
default_tgs_enctypes = des-cbc-crc
permitted_enctypes = des3-cbc-sha1 arcfour-hmac aes256-cts des-cbc-md5 des-cbc-crc arcfour-hmac-exp
[realms]
EPFL.CH = {
kdc = ad3.intranet.epfl.ch:88
admin_server = ad3.intranet.epfl.ch:749
default_domain = epfl.ch
}
INTRANET.EPFL.CH = {
kdc = ad3.intranet.epfl.ch:88
admin_server = ad3.intranet.epfl.ch:749
default_domain = intranet.epfl.ch
}
SCX.INTRANET.EPFL.CH = {
kdc = scxdc0.scx.intranet.epfl.ch:88
admin_server = scxdc0.scx.intranet.epfl.ch:749
default_domain = scx.intranet.epfl.ch
}
[domain_realm]
.epfl.ch = EPFL.CH
epfl.ch = EPFL.CH
.intranet.epfl.ch = INTRANET.EPFL.CH
intranet.epfl.ch = INTRANET.EPFL.CH
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
|
Dans l'idéal, il faudrait que toutes les machines clientes aient un fichier de configuration contenant les informations pour s'authentifier sur tous les domaines existants. |
|
|
This wiki