SSH und Kerberos (auf Debian)
Das Nachfolgende funktioniert auf Debian-Systemen. Es läßt sich aber recht leicht auf andere Betriebssysteme “portieren”, da es keine Debian-Spezifische Funktionalität ist.
SSH Public-Keys sind toll. Kerberos ist besser!
Kerberos-Tickets kann man für SSH-Verbindungen nutzen, in etwa bildet man damit das Verhalten von SSH Public-Keys nach. Es kann allerdings mehr.
Was braucht man?
Einen Kerberos-Principal für den Benutzer und einen Principal für den Host. Den Key für den Host legt man mit einem random-Passwort an und exportiert ihn anschließend noch.
kadmin: ank user
kadmin: ank -randkey host/maschine
kadmin: ktadd -k /tmp/maschine.keytab host/maschine
Auf einem sicheren Weg nun die exportierte Datei auf den SSH-Server in /etc/krb5.keytab kopieren oder besser gleich verschieben.
Änderung am SSHd
Endweder man verwendet direkt das Paket ssh-krb5 oder man passt en existierenden SSHd etwas an.
/etc/ssh/sshd_config:
# Kerberos options
KerberosAuthentication yes
KerberosOrLocalPasswd yes
KerberosTicketCleanup yes
# GSSAPI options
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
Kerberos Client auf dem Server
Das Paket krb5-user muß installiert sein.
/etc/krb5.conf:
[libdefaults]
default_realm = REALM
[realms]
REALM = {
kdc = kdc-master:88
kdc = kdc-slave:88
admin_server = kdc-master:749
default_domain = domain
}
[domain_realm]
.domain = REALM
domain = REALM
Das war’s fast schon.
Der User
Im Home-Verzeichnis des Users die .k5login erzeugen und mit den Principals die sich anmelden dürfen füllen.
user@REALM
nocheinuser@REALM
Pro Zeile einen Principal.
That’s it.
Related:
- Dependencies von OpenAFS auf Debian – Part 2...
- Dependencies von OpenAFS auf Debian...
- European AFS & Kerberos Conference 2010...
