Project

General

Profile

Segnalazione #387

Configuring Kerberos Authentication

Added by Andrea Padovan over 7 years ago. Updated about 7 years ago.

Status:
Commenti
Priority:
Normale
Start date:
08/31/2017
Due date:
% Done:

0%

Estimated time:

Description

1)
Durante l'installazione del FUSS-client da immagine "iso",
chiedo ufficialmente quale valore inserire dopo la seguente domanda:

[!] Configuring Kerberos Authentication
Enter the hostnames of Kerberos servers in the TAMBOSI.BLZ Kerberos relam separated by spaces.
Keberos servers for your realm:

---------------------------------
"Continua"

So che si deve inserire il nome del server , in questo caso per esempio:

250403ssalase

2)
CHIEDO SE LA SEGUENTE PROCEDURA E' CORRETTA E POSSIBILE. Grazie
- Eseguo il join (fus-client a) nella stessa scuola,
Sgancio il PC dal dominio (fuss-client r)
faccio un clone per riutilizzarlo in un altra scuola

- Vado nella nuova scuola
- lo clono su un PC scollegato dalla rete nella nuova scuola
- accendo il PC scollegato dalla rete
- cambio il nome (in /etc/hosts e /etc/hostname)
- spengo il PC
- collego la scheda di rete alla LAN
- accendo il PC

- non cambio la password a root (passwd root)perchè ancora non funziona

- Eseguo fuss-clien -r e fuss-client -a sul nuovo server.

(oggi a me non ha funzionato) Vedi anche ticket nr.386

grazie
Andrea


Related issues

Related to fuss-client - Segnalazione #359: Rigenerazione o meno di /etc/krb5.keytabRisolto07/27/2017

Actions

History

#1

Updated by Andrea Padovan over 7 years ago

  • Assignee set to TRUELITE
#2

Updated by Christopher R. Gabriel over 7 years ago

  • Assignee changed from TRUELITE to Simone Piccardi
#3

Updated by Michael Guggenberg over 7 years ago

#4

Updated by Simone Piccardi over 7 years ago

  • Status changed from Nuovo to Commenti
  • Assignee changed from Simone Piccardi to Andrea Padovan

Andrea Padovan ha scritto:

1)
Durante l'installazione del FUSS-client da immagine "iso",
chiedo ufficialmente quale valore inserire dopo la seguente domanda:

[...]

Si, confermo che in fase di installazione la risposta alla domanda sugli hostnames è inserire il nome del server, esattamente come detto.

2)
CHIEDO SE LA SEGUENTE PROCEDURA E' CORRETTA E POSSIBILE. Grazie
- Eseguo il join (fus-client a) nella stessa scuola,
Sgancio il PC dal dominio (fuss-client r)
faccio un clone per riutilizzarlo in un altra scuola

- Vado nella nuova scuola
- lo clono su un PC scollegato dalla rete nella nuova scuola
- accendo il PC scollegato dalla rete
- cambio il nome (in /etc/hosts e /etc/hostname)
- spengo il PC
- collego la scheda di rete alla LAN
- accendo il PC

- non cambio la password a root (passwd root)perchè ancora non funziona

- Eseguo fuss-clien -r e fuss-client -a sul nuovo server.

E' opportuno cancellare anche /root/krb5.keytab, vedi #359, è una copia che non viene tolta da -r e che resta per i motivi spiegati nel ticket citato; fuss-client -r è stato pensato per ripulire i dati di un client all'interno di un dominio, ma non è stata presa in considerazione la casistica illustrata che sposta il client installato altrove. Comunque se resta il keytab sbagliato non funzionerà.

Ma mi sfugge lo scopo della procedura, ed in particolare del perché clonare un client di cui si è fatta la join e poi lo sganciamento e non semplicemente un client appena installato.

#5

Updated by Andrea Padovan over 7 years ago

grazie per le info.
Ieri abbiamo riprovato a creare un client su una VM inserendo i parametri indicati nel ticket.
Abbiamo poi replicato il client con clonezilla dal server (via PXE) ed ha funzionato.
Agganciato poi tutti i client con esito e test positivi!

Proverò a fare i test di sgancio ed eliminazione del file /root/krb5.keytab con un client per vedere se funziona anche in un altra scuoa.

Nel nostro lavoro è comodo poter clonare un'immagina già preparata, aggiornata e testata nel tempo in una scuola per poterla replicare senza problemi alcuni in alre reti. Se per ogni scuola e ogni PC ci dovessimo mettere a installare tutti i driver e programmi non previsti nella distro dovremo perdere un sacco di tempo in più. E' una questione di praticità, e tempo risparmiato. Ora proverò come consigliato nel ticket e farò dei test. Grazie Andrea

#6

Updated by Andrea Padovan over 7 years ago

  • Priority changed from Immediata to Normale
#7

Updated by Elena Grandi about 7 years ago

Segnalo (come da ultimi sviluppi di #359) che nell'ultima versione di fuss-client è presente un'opzione --purge (o -p) che, aggiunta a -r provvede anche alla cancellazione dei file krb5.keytab, per favorire il caso d'uso in questione.

#8

Updated by Andrea Padovan about 7 years ago

Grazie Elena,
sarebbe ancora meglio se l'opzione --purge (oltre all'eliminazione di /root/krb5.keytab) prevedesse anche la cancellazione dei seguenti files

/etc/krb5.keytab
e
/etc/krb5.conf

fatemi sapere grazie Andrea

#9

Updated by Andrea Padovan about 7 years ago

  • Assignee changed from Andrea Padovan to Elena Grandi
#10

Updated by Elena Grandi about 7 years ago

  • Assignee changed from Elena Grandi to Andrea Padovan

Il file /etc/krb5.keytab viene già cancellato, come scritto in dettaglio su #359 (di qui ero stata breve e avevo scritto solo "i krb5.keytab").

Non serve invece rimuovere /etc/krb5.conf dato che la sua presenza con eventuali configurazioni sbagliate viene già gestita correttamente da fuss-client -a.

Also available in: Atom PDF