Настройка Kerberos на новых дистрибутивах.

Эти инструкции предназначены для новых дистрибутивов Fedora и Ubuntu. Новый дистрибутив должен иметь OpenSSH 4.0 или выше. Также ,он должен иметь новые версии Kerberos и pam_krb5. Какие именно версии Kerberos и pam_krb5 отвечают критериям,до сих пор, каждый дистрибутив поставляется с OpenSSH 4.0 или выше и все остальные компоненты правильные . 

Эти распределения были проверены и работали с этими инструкциями

  • Scientific Linux 5.0 и выше
  • RHEL 5 и выше
  • Fedora 8 и выше
  • Ubuntu 8.0.4 и выше
  • Другие? — Дайте мне знать, что бы я мог добавить к списку

    Исходящие подключения
  • Установить Kinit  —  многие дистрибутивы не включают Kinit в стандартные установки. Но его очень легко установить. Самая трудная вещь выяснить, какому пакету это нужно
    • SL, RHEL, Fedora — krb5-станции —  установить krb5-станции
    • Ubuntu, Debian — krb5-пользователь apt-get install krb5-пользователь
  • Настройка krb5.conf
    1. Wget http://security.fnal.gov/krb5.conf
    2. мВ / etc/krb5.conf / etc/krb5.conf.save
    3. М.В. krb5.conf / etc/krb5.conf
  • Настройка клиента OpenSSH пройти Kerberos билеты правильно 
    редактировать файл / и т.д. / SSH / ssh_config 
  • Настройка SSH-клиента

Что вам нужно настроить на современном (OpenSSH 3.9 и выше) SSH клиенте,что бы вы смогли войти на машину Fermilab Kerberos. Большинство современных Linux-дистрибутивов имеют новые версии OpenSSH.  Практически все версии OpenSSH 3.9 и выше, имеют проверку подлинности Kerberos, встроенные в них.  Это хорошо. 
Большинство всех версий OpenSSH 3.9 и выше, не имеют Kerberos настроенного для клиента. Это не так хорошо.

Всё, что нужно сделать, чтобы исправить это редактирование /etc/ssh/ssh_configand  и добавьте следующий текст в начало файла.

Host *. Fnal.gov

GSSAPIAuthentication yes

GSSAPIDelegateCredentials yes

ForwardX11Trusted yes

ForwardX11 yes

Это позволит вам использовать проверку подлинности Kerberos в лаборатории Ферми, это не замедляет работу системы, пытаясь сделать проверку подлинности с использованием Kerberos .

Устранение неисправностей
В некоторых версиях OpenSSH есть строка «GSSAPIDelegateCredentials no» in their /etc/ssh/ssh_config . Если вы поместите выше раздел в начале вашего ssh_config файла, вы не должны иметь никаких проблем. Но как только он закончит работать, у вас могут возникнуть проблемы, вы должны обратить внимание  на эту строчку  /etc/ssh/ssh_config and $HOME/.ssh/config и $HOME/.ssh/config конфигурационные файлы и заменить 
GSSAPIDelegateCredentials no
на
GSSAPIDelegateCredentials  yes

Исходящие и входящие соединения

Примечание: Входящие соединения Kerberos могут быть обработаны с нормальной OpenSSH, Kerberos и pam_krb5.Разница лишь в том, что вам не придется делать поддержку Cryptocard входа .

  1. Установите Kinit 
    Многие дистрибутивы не включая Kinit в стандартной установке. Но его очень легко установить. Самая трудная вещь выяснить, какому пакету это нужно

    • SL, RHEL, Fedora — krb5-станции установить krb5-станции
    • Ubuntu, Debian — krb5-пользователь apt-get install krb5-пользователь
  2. Настройка krb5.conf ю Если ваш дистрибутив основан на min

    • rpm -Uvh ftp://linux.fnal.gov/linux/fermi/contrib/kerberos/sl5x/i386/krb5-fermi-config-current.rpm

    ИЛИ Если ваш дистрибутив *not* rpm не основан или вы чувствуете, лучше это сделать

    1. Wget http://security.fnal.gov/krb5.conf
    2. mv /etc/krb5.conf /etc/krb5.conf.save
    3. mv krb5.conf /etc/krb5.conf
  3. Получить основной пароль 
  4. Это еще один шаг, где установка Kerberos Fermilab делает вещи проще.Если вы установили krb5-fermi-config-current.rpm на предыдущем шаге
    • / Usr/krb5/config/makehostkeys
      {} пароль это пароль отправлен вам в предыдущем шаге.

    ИЛИ Если вы не сделали установку krb5-fermi-config-current.rpm на предыдущем шаге

    • kadmin -r FNAL.GOV -p host/{full.host.name}@FNAL.GOV -w {password} -q «ktadd host/{full.host.name}@FNAL.GOV» {full.host.name}   является полным именем компьютера. Основное, что вы положили в том виде, в предыдущем шаге. 
      {} пароль это пароль отправлен вам в предыдущем шаге.
  5. Настройка клиента OpenSSH — пройдите настройку Kerberos правильно 
    отредактируйте файл etc/ssh/ssh_config
  6. Установите OpenSSH-сервер 
    Многие дистрибутивы не включают OpenSSH-сервер в стандартной установке. Но его очень легко установить.

    • SL, RHEL, Fedora — OpenSSH-сервер ням установить OpenSSH-сервер
    • Ubuntu, Debian — OpenSSH-сервер apt-get install-сервер OpenSSH
  7. Настройка OpenSSH —  сделайте проверку подлинности Kerberos

    • Отредактируйте /etc/ssh/ssh_config
    • Перезагрузите  SSH  /etc/init.d/sshd restart
    • Убедитесь, что в брандмауэре есть разрешение для SSH (порт 22) 

Оставить комментарий