Page 1 of 1

Keytab Case Sensitive - Sugestão de Aprimoramento

Posted: Wed May 30, 2018 12:47 am
by pramos
Utilizamos satisfatoriamente o pfSense com os complementos do pf2AD em 2 servidores proxies, que atendem cerca de 200 usuários cada um. O processo de instalação e configuração foi muito simples e, testando através do Firefox, o acesso ocorreu exatamente como esperado. Mas, ao colocar essas máquinas em produção, percebemos que o Chrome ainda pedia autenticação através de um prompt, quando deveria autenticar de forma transparente via kerberos. Após um bom tempo de análise, com a ajuda de um colega, verificamos que a autenticação falhava em razão da falta da entrada HTTP na keytab. Na verdade, o arquivo /etc/krb5.keytab possuía a entrada "http" (em letras minúsculas), mas não a "HTTP" (maiúscula), o que fazia com que a autenticação via kerberos falhasse. Adicionando manualmente essa entrada na keytab, através do comando net ads keytab ADD HTTP -U <domain_admin_user>, o problema foi corrigido.

Assim, como aprimoramento do pf2AD, para evitar esse contratempo nas implementações futuras, fica aqui a sugestão de que esse comando seja incluído no samba.inc, para que essa entrada adicional em letras maiúsculas seja criada tão logo a máquina ingresse no domínio:

152 // Create key tab file (kerberos)
153 if (!file_exists('/etc/krb5.keytab')) {
154 mwexec("/usr/local/bin/net ads keytab create -U '" . $username . "%" . $adminpass . "'");
+++ mwexec("/usr/local/bin/net ads keytab add HTTP -U '" . $username . "%" . $adminpass . "'");
155 mwexec("/usr/sbin/chown :proxy /etc/krb5.keytab");
156 mwexec("/bin/chmod 0750 /etc/krb5.keytab");
157 }


Espero ter ajudado.

Abraços.

Re: Keytab Case Sensitive - Sugestão de Aprimoramento

Posted: Tue Aug 14, 2018 1:31 pm
by gm.bianchi
Muito obrigado, você resolveu o problema que me impediu de mudar do samba3 para o samba4 + kerberos!