Erinevus lehekülje "MIT Kerberose kasutamine Debianiga" redaktsioonide vahel

Allikas: Kuutõrvaja
(Kliendi kasutamine)
(kshell)
72. rida: 72. rida:
 
  KRB5REMOTEADDR=192.168.10.205
 
  KRB5REMOTEADDR=192.168.10.205
 
  _=/usr/bin/env
 
  _=/usr/bin/env
 +
 +
====OpenSSH====
 +
 +
Selleks, et OpenSSH klient saaks ilma paroolita sisse logida, peab serveri seadistusfailis olema rida
 +
 +
GSSAPIAuthentication yes
 +
 +
Õnnestumisel tekib serveri auth.log faili
 +
 +
Jun 20 17:36:08 debian-testing-kdc sshd[4597]: Authorized to priit, krb5 principal priit@AUUL (krb5_kuserok)
 +
Jun 20 17:36:08 debian-testing-kdc sshd[4597]: Accepted gssapi-with-mic for priit from 192.168.10.205 port 33144 ssh2
 +
Jun 20 17:36:08 debian-testing-kdc sshd[4597]: pam_unix(sshd:session): session opened for user priit by (uid=0)
 +
 +
====Pileti kustutamine====
  
 
Lõpetamiseks
 
Lõpetamiseks

Redaktsioon: 21. juuni 2010, kell 00:36

Sissejuhatus

Kerberos ...

Tööpõhimõte

TODO

Ettevalmistused

  • Asjaosaliste arvutite nimede päri-ja pöördteisendused peavad lahenema korrektselt.
  • Asjaosaliste arvutite kellaaeg peab olema sama.

Serveri tarkvara paigaldamine

# apt-get install krb5-kdc krb5-admin-server

Kerberose andmebaasi haldamine

  • Andmebaasi tekitamiseks tuleb öelda
# krb5_newrealm

Kerberose andmebaasi saab hallata kadmin.local programmiga, nt käsuga listprincs saab küsida registreeritud principalide nimekirja

# kadmin.local 
Authenticating as principal root/admin@AUUL with password.
kadmin.local:  listprincs 
K/M@AUUL
kadmin/admin@AUUL
kadmin/changepw@AUUL
kadmin/history@AUUL
krbtgt/AUUL@AUUL

Selleks, et administraatorid saaksid administreerida, peab fail /etc/krb5kdc/kadm5.acl peab sisaldama rida

*/admin *

Administraatori lisamine

kadmin.local:  addprinc root/admin

Kasutaja lisamine

kadmin.local:  addprinc priit

Kliendi tarkvara paigaldamine

# apt-get install krb5-clients

Kliendi kasutamine

$ kinit
$ klist

kshell

kshell (Kerberized rsh) kasutamiseks, nt teiselt arvutilt küsida keskkonna kohta, sobib öelda

$ krb5-rsh -x debian-kdc env
This rsh session is encrypting input/output data transmissions.
KRB5LOCALADDR=192.168.10.204
TERM=network
SHELL=/bin/bash
USER=priit
KRB5REMOTEPORT=55424
PATH=/usr/bin:/local/bin:/usr/bin:/bin:/usr/local/bin:/usr/bin/X11:.
KRB5LOCALPORT=544
PWD=/home/priit
SHLVL=1
HOME=/home/priit
KRB5REMOTEADDR=192.168.10.205
_=/usr/bin/env

OpenSSH

Selleks, et OpenSSH klient saaks ilma paroolita sisse logida, peab serveri seadistusfailis olema rida

GSSAPIAuthentication yes

Õnnestumisel tekib serveri auth.log faili

Jun 20 17:36:08 debian-testing-kdc sshd[4597]: Authorized to priit, krb5 principal priit@AUUL (krb5_kuserok)
Jun 20 17:36:08 debian-testing-kdc sshd[4597]: Accepted gssapi-with-mic for priit from 192.168.10.205 port 33144 ssh2
Jun 20 17:36:08 debian-testing-kdc sshd[4597]: pam_unix(sshd:session): session opened for user priit by (uid=0)

Pileti kustutamine

Lõpetamiseks

$ kdestroy

NFS kasutamine

TODO

LDAP kasutamine

TODO

Märkused

  • /tmp kataloog peab olema kõigile kirjutatav (nii nagu ta reeglina ka olema peab)

Kasulikud lisamaterjalid