PKINIT avec client OS X avec serveur Linux |
Bienvenue invité ( Connexion | Inscription )
PKINIT avec client OS X avec serveur Linux |
26 Aug 2015, 17:26
Message
#1
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 608 Inscrit : 1 Jul 2006 Membre no 63 808 |
Bonjour à tous,
J'ai un petit souci avec kinit. J'ai un serveur Kerberos (MIT) sous Linux, et le client sous OS X (Heimdal). Le but réel est de me connecter à ma session OS X en faisant un PKINIT via un token USB. Ainsi, je serais également authentifié pour tous les services pour la journée. Pour ne pas faire tout d'un coup, voici les différentes étapes que je voulais suivre : * kinit via login + mdp en ligne de commande, * pkinit en ligne de commande en fournissant le certificat + clef, * pkinit en ligne de commande avec un token, * authentification à la session. Malheureusement, je suis bloqué à l'étape 2 (l'étape 1 fonctionne) kinit -C FILE:flan.pem [email protected] kinit: krb5_get_init_creds: Error from KDC: PREAUTH_FAILED avec le log côté serveur : Aug 26 18:24:52 ubuntu krb5kdc[3282]: AS_REQ (4 etypes {18 17 16 23}) 10.19.1.35: NEEDED_PREAUTH: [email protected] for krbtgt/[email protected], Additional pre-authentication required Aug 26 18:24:52 ubuntu krb5kdc[3282]: closing down fd 17 Aug 26 18:24:52 ubuntu krb5kdc[3282]: preauth (pkinit) verify failure: Key parameters not accepted Aug 26 18:24:52 ubuntu krb5kdc[3282]: AS_REQ (4 etypes {18 17 16 23}) 10.19.1.35: PREAUTH_FAILED: [email protected] for krbtgt/[email protected], Key parameters not accepted Aug 26 18:24:52 ubuntu krb5kdc[3282]: closing down fd 17 Sur Linux, avec le même fichier, ça fonctionne : kinit -X "X509_user_identity=FILE:flan.pem" [email protected] avec le log côté serveur : Aug 26 18:23:49 ubuntu krb5kdc[3282]: AS_REQ (6 etypes {18 17 16 23 25 26}) 10.19.1.134: NEEDED_PREAUTH: [email protected] for krbtgt/[email protected], Additional pre-authentication required Aug 26 18:23:49 ubuntu krb5kdc[3282]: AS_REQ (6 etypes {18 17 16 23 25 26}) 10.19.1.134: ISSUE: authtime 1440606229, etypes {rep=18 tkt=18 ses=18}, [email protected] for krbtgt/[email protected] Aug 26 18:23:49 ubuntu krb5kdc[3282]: closing down fd 17 Je suis preneur de toute idée sur le sujet ! |
|
|
29 Aug 2015, 19:41
Message
#2
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 608 Inscrit : 1 Jul 2006 Membre no 63 808 |
Après essais, un serveur MIT ne convient pas pour faire du PKINIT avec un client HEIMDAL.
|
|
|
30 Aug 2015, 16:20
Message
#3
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 497 Inscrit : 4 Oct 2002 Membre no 3 936 |
Félicitations ! C'est pas souvent que je pige rien à un thread
Désolé de ne pas avoir pu t'aider. |
|
|
2 Sep 2015, 20:10
Message
#4
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 608 Inscrit : 1 Jul 2006 Membre no 63 808 |
Félicitations ! C'est pas souvent que je pige rien à un thread Désolé de ne pas avoir pu t'aider. Merci ^^ Oh, en pratique ce n'est pas si compliqué, simplement très peu documenté… j'ai l'impression qu'il y a une seule personne sur internet qui s'est posé la même question que moi (en 2012), mais aucune réponse. Et dire que je ne fais ça que pour mon petit chez-moi… Ce message a été modifié par flan - 2 Sep 2015, 20:11. |
|
|
3 Sep 2015, 10:26
Message
#5
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 497 Inscrit : 4 Oct 2002 Membre no 3 936 |
Maso va !
Viens, on monte un club |
|
|
12 Sep 2015, 21:14
Message
#6
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 608 Inscrit : 1 Jul 2006 Membre no 63 808 |
Au passage, j'avais prévu d'authentifier tous les services avec Kerberos, mais je me suis rendu compte qu'iOS était incapable d'en faire proprement (sauf sur les sites web, et encore, uniquement avec mot de passe).
Du coup, je vais devoir conserver pas mal de services en authentification par mot de passe (mail, calendriers, …) Je suis assez déçu par iOS pour le coup. |
|
|
Nous sommes le : 24th April 2024 - 01:50 |