Keytab Case Sensitive - Sugestão de Aprimoramento

Tudo sobre o script PF2AD (http://pf2ad.mundounix.com.br)
Post Reply
pramos
Posts: 3
Joined: Tue Oct 31, 2017 11:07 pm

Keytab Case Sensitive - Sugestão de Aprimoramento

Post by pramos » Wed May 30, 2018 12:47 am

Utilizamos satisfatoriamente o pfSense com os complementos do pf2AD em 2 servidores proxies, que atendem cerca de 200 usuários cada um. O processo de instalação e configuração foi muito simples e, testando através do Firefox, o acesso ocorreu exatamente como esperado. Mas, ao colocar essas máquinas em produção, percebemos que o Chrome ainda pedia autenticação através de um prompt, quando deveria autenticar de forma transparente via kerberos. Após um bom tempo de análise, com a ajuda de um colega, verificamos que a autenticação falhava em razão da falta da entrada HTTP na keytab. Na verdade, o arquivo /etc/krb5.keytab possuía a entrada "http" (em letras minúsculas), mas não a "HTTP" (maiúscula), o que fazia com que a autenticação via kerberos falhasse. Adicionando manualmente essa entrada na keytab, através do comando net ads keytab ADD HTTP -U <domain_admin_user>, o problema foi corrigido.

Assim, como aprimoramento do pf2AD, para evitar esse contratempo nas implementações futuras, fica aqui a sugestão de que esse comando seja incluído no samba.inc, para que essa entrada adicional em letras maiúsculas seja criada tão logo a máquina ingresse no domínio:

152 // Create key tab file (kerberos)
153 if (!file_exists('/etc/krb5.keytab')) {
154 mwexec("/usr/local/bin/net ads keytab create -U '" . $username . "%" . $adminpass . "'");
+++ mwexec("/usr/local/bin/net ads keytab add HTTP -U '" . $username . "%" . $adminpass . "'");
155 mwexec("/usr/sbin/chown :proxy /etc/krb5.keytab");
156 mwexec("/bin/chmod 0750 /etc/krb5.keytab");
157 }


Espero ter ajudado.

Abraços.

gm.bianchi
Posts: 2
Joined: Tue Aug 14, 2018 1:26 pm

Re: Keytab Case Sensitive - Sugestão de Aprimoramento

Post by gm.bianchi » Tue Aug 14, 2018 1:31 pm

Muito obrigado, você resolveu o problema que me impediu de mudar do samba3 para o samba4 + kerberos!

Post Reply