Ho risolto, è bastato commentare le righe del krb5.conf relative ai tipi di crittografia, e adesso va che è una favola! Evidentemente in questo modo il client o usa un default adatto alla componente Kerberos di AD, oppure riesce a concordare col server quale crittografia usare.
Ti ringrazio dei consigli e del link che mi hai mandato, perché l'idea mi è venuta da lì. Ciao e a presto. On Thu, 2011-05-19 at 10:59 +0200, Antonio Doldo wrote: > Il 18/05/2011 18:29, andrea ha scritto: > > Salve, > > > > amministro da anni una rete Microsoft con Active Directory, ma la mia > > postazione personale è sempre una Debian, attualmente Squeeze, > > ovviamente. > > > > La cosa che mi da sui nervi è che, pur essendo correttamente integrata > > in AD, la mia postazione è l'unica sulla quale, per accedere a una > > qualunque risorsa condivisa, si debba sempre inserire, almeno una volta > > per sessione, le credenziali. > > > > Penso che sia un problema legato a Kerberos, perché è la componente che > > dovrebbe garantirmi accesso alle risorse per il solo fatto che ho > > effettuato il login. Forse il ticket scade troppo presto, o qualcosa del > > genere. > Ammesso che krb5.conf sia uguale agli altri, ti converrebbe rigenerare > il ticket dopo avere eliminato > con kdestroy quelli in uso: > > # klist > Ticket cache: FILE:/tmp/krb5cc_0 > Default principal: Administrator@XXXXXXXX > > Valid starting Expires Service principal > 05/19/11 10:42:39 05/19/11 20:42:43 krbtgt/XXXXXXXX@XXXXXXXX > renew until 05/20/11 10:42:39 > > > cosi per 10 minuti (default) puoi mettere la macchina a dominio > io controllerei smb.conf, krb5.conf e nsswitch.conf oltre a /etc/pam.d/ > > se vuoi rinnovare il ticket prima che scada usa 'kinit -R' oppure > specifica in krb5.conf > ticket_lifetime = 24h > > Per il resto, infatti, l'integrazione mi sembra perfetta: quando sta per > > scadere la password, in base alla policy di dominio, al login ricevo un > > avviso; la complessità della password, la durata etc. sono proprio > > quelle previste dalle policy; i permessi di accesso alle varie risorse, > > in base ai gruppi cui appartengo, funzionano correttamente. > > > questa è una cosa che interessa me, mi dici come ricevi la notifica? hai > messo in smb.conf qualche specifica? > > L'unica cosa che non mi sembra corretta è appunto la continua richiesta > > delle credenziali per accedere alle risorse, salvo a memorizzarle fino > > alla fine della sessione, che però è una soluzione che non mi piace. > > > sulla macchina in locale esiste un account identico a quello del dominio? > qui ho raccolto qualche link utile: > http://www.delicious.com/antoniodoldo/winbind > > Qualunque suggerimento sarà molto gradito. > > > > Saluti a tutti. > > > Altra cosa che mi viene in mente è di eliminare la cache winbind. > > Ciao, > Antonio > -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1306436839.4587.2.camel@debian
