Ich bitte kurz um die Aufmerksamkeit meiner geschätzten Leserschaft.
Alle hier veröffentlichten Anleitungen, Scripte und Howtos haben bei mir funktioniert. Das bedeutet nicht, daß zwingend alles davon auch in einem anderen Setup funktionieren wird. Nichts was hier steht entbindet vom Lesen der man-Pages und der Nutzung einer Suchmaschine.
Das Nachfolgende funktioniert auf Debian-Systemen. Es läßt sich aber recht leicht auf andere Betriebssysteme “portieren”, da es keine Debian-Spezifische Funktionalität ist.
SSH Public-Keys sind toll. Kerberos ist besser!
Kerberos-Tickets kann man für SSH-Verbindungen nutzen, in etwa bildet man damit das Verhalten von SSH Public-Keys nach. Es kann allerdings mehr.
Was braucht man?
Einen Kerberos-Principal für den Benutzer und einen Principal für den Host. Den Key für den Host legt man mit einem random-Passwort an und exportiert ihn anschließend noch.
kadmin: ank user
kadmin: ank -randkey host/maschine
kadmin: ktadd -k /tmp/maschine.keytab host/maschine
Auf einem sicheren Weg nun die exportierte Datei auf den SSH-Server in /etc/krb5.keytab kopieren oder besser gleich verschieben.
Änderung am SSHd
Endweder man verwendet direkt das Paket ssh-krb5 oder man passt en existierenden SSHd etwas an.
/etc/ssh/sshd_config:
# Kerberos options
KerberosAuthentication yes
KerberosOrLocalPasswd yes
KerberosTicketCleanup yes
# GSSAPI options
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
Kerberos Client auf dem Server
Das Paket krb5-user muß installiert sein.
/etc/krb5.conf:
[libdefaults]
default_realm = REALM
[realms]
REALM = {
kdc = kdc-master:88
kdc = kdc-slave:88
admin_server = kdc-master:749
default_domain = domain
}
[domain_realm]
.domain = REALM
domain = REALM
Das war’s fast schon.
Der User
Im Home-Verzeichnis des Users die .k5login erzeugen und mit den Principals die sich anmelden dürfen füllen.
user@REALM
nocheinuser@REALM
Pro Zeile einen Principal.
That’s it.
1.5.50 is the recommended production-ready release of OpenAFS for
Microsoft Windows users. It supports all Microsoft Windows operating
systems from Windows 2000 through Windows Vista SP1 and Windows Server 2008 including both 32-bit and 64-bit architectures. The 1.5.50
release continues the recent efforts at optimizing the performance of the Windows client and improving its scalability.
[Quelle: Jeff via openafs-annouce]
For UNIX, Linux, and MacOS X the recommend production-ready release of
OpenAFS is 1.4.7. The 1.5.39 Windows client is fully compatible with
all AFS server versions.
Aus der Reihe “das Huhn und das Ei“:
Ein namenhafter Hersteller von Mainboards verbaut auf einer der neuen Baureihen keinen Floppy-Anschluß mehr. Gut, an sich ja kein ernstes Problem. Doch die Installation von Windows XP ist dank der sonstigen verbauten Hardware ohne Boot-Floppy nicht möglich.
Die Treiber-Diskette liegt freundlicherweise sogar bei.
Nur ein Link, aber durchaus lesenswert: UNIX tips: Productivity tips
Useful command-line secrets for increasing productivity in the office
Was macht man an einem verregneten Nachmittag wenn die frisch installierte Erklältung zügig die Oberhand über die Konzentration erlangt? Heißer Tee, dicke Socken und eine leere Platte in’s Thinkpad schrauben: Zeit für OpenSolaris 5/08!
Solaris ist ja nun nicht wirklich etwas Neues für mich, meine alte Blade 100 lief jahrelang als Arbeitstier unter Solaris 9, doch OpenSolaris fühlt sich frisch installiert irgendwie etwas “neuer” an. Man möge mir diesen Vergleich verzeihen, doch im ersten Moment mußte ich an ubuntu denken (“…nur weniger braun“).
Nagut, jetzt bin ich schon da, sehe ich mich doch mal genauer um. Schnell die zsh-config und die screenrc auspacken, und das System mal unter die Lupe nehmen.
Als erster großer Pluspunkt fällt mir direkt ins Auge: ZFS wurde bereits für die Installation verwendet. Sogar ein Snapshot der wichtigsten Datasets wurde bereits angelegt, so daß der experimentierfreudige User nicht neu installieren muß.
Experimentieren heißt das Motto! Nur wenige Sekunden nachdem ich das LAN-Kabel rausgezogen habe poppte eine hüpsche Meldung auf, ob ich einem WLAN beitreten wolle. Das fehlt mir wirklich bei Linux – keine wpa_supplicant.conf, kein iwconfig-Scripting, einfach das Passwort eingeben und mein Thinkpad hängt direkt im WPA2-crypted WLAN. (Jetzt erklär’ mir bitte keiner, daß *buntu das auch kann! Das weiß ich, deren Lösung gefällt mir nur nicht.)
Nächster Schritt: notwendige Software von sunfreeware.com beziehen. pkg-get ist hierbei das Mittel der Wahl, zu finden unter http://sunfreeware.com/BOLTpget.pkg.
pkgadd -d BOLTpget.pkg
Als erstes die Paketliste updaten, danach (fast) wie apt-get bedienen.
pkg-get -U
Fazit:
Durchdacht. Man kann ein klares Konzept bei den default-Configs erkennen. Mir gefällts, aber für den Produktiv-Betrieb muß ich erst noch einen OpenAFS-Client zum laufen überreden. Selbst die Hardware meines X60s wird wunderbar unterstützt. Stay tuned!
|
788,303 |
|
1128 |
|
522 |
|
56 |
