Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam
Chcę postawić openldap z autoryzacją kerberosem. więc najpierw stawiam kerberosa nie potrafię na 100% określić czy działa. Nie śmiejcie się z mojej domeny lubię tę książkę :-).
na serwerze zainstalowałem:
aptitude install krb5-admin-sever krb5-kdc
i skonfigurowałem /etc/krb5.conf
[libdefaults]
default_realm = HOGWARTH.EDU
# The following krb5.conf variables are only for MIT Kerberos.
krb4_config = /etc/krb.con
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
# The following encryption type specification will be used by MIT Kerberos
# if uncommented. In general, the defaults in the MIT Kerberos code are
# correct and overriding these specifications only serves to disable new
# encryption types as they are added, creating interoperability problems.
default_tgs_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
default_tkt_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
permitted_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
[realms]
HOGWARTH.EDU = {
kdc = gryffindor.hogwarth.edu
admin_server = gryffindor.hogwarth.edu
default_domain = hogwarth.edu
}
[domain_realm]
hogwarth.edu = HOGWARTH.EDU
.hogwarth.edu = HOGWARTH.EDU
[logging]
kdc = FILE:/var/log/kerberos/krb5kdc.log
admin_server = FILE:/var/log/kerberos/kadmin.log
default = FILE:/var/log/kerberos/krb5lib.log
[login]
krb4_convert = false
krb4_get_tickets = false
[/quote]
utworzyłem pliki logów touch /var/log/kerberos/{krb5kdc.log,kadmin.log,krb5lib.log}
skonfigurowałem /etc/krb5kdc/kdc.conf
[kdcdefaults]
kdc_ports = 750,88
[realms]
HOGWARTH.EDU = {
database_name = /var/lib/krb5kdc/principal
admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab
acl_file = /etc/krb5kdc/kadm5.acl
key_stash_file = /etc/krb5kdc/stash
kdc_ports = 750,88
max_life = 10h 0m 0s
max_renewable_life = 7d 0h 0m 0s
master_key_type = des3-hmac-sha1
supported_enctypes = des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3
default_principal_flags = +preauth
}
[/quote]
utworzyłem plik stash
#kdb5_util create -s
następnie kadmin.local tworze użutkownika ron/admin
#kadmin.local
>addprinc ron/admin
>listprincs
K/M@HOGWARTH.EDU
kadmin/admin@HOGWARTH.EDU
kadmin/changepw@HOGWARTH.EDU
kadmin/gryffindor.hogwarth.edu@HOGWARTH.EDU
kadmin/history@HOGWARTH.EDU
ron/admin@HOGWARTH.EDU
>exit
i restartuję kdc
#/etc/init.d/krb5-kdc restart
daję
#kinit ron/admin
#klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: ron/admin@HOGWARTH.EDU
Valid starting Expires Service principal
11/07/07 13:29:51 11/07/07 23:29:51 krbtgt/HOGWARTH.EDU@HOGWARTH.EDU
renew until 11/08/07 13:29:47
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
widać że mam bilet.
określam listę dostępu kadm5.acl
kadmin/admin@HOGWARTH.EDU *
ron/admin@HOGWARTH.EDU *
*/*@HOGWARTH.EDU i
[/quote]
i tworze plik keytab
#kadmin.local
ktadd -k /etc/krb5kdc/kadm5.keytab kadmin/admin changepw
no i na koniec tworzę użytkowników ron i root
# /etc/init.d/krb5-kdc restart
#kadmin.local
>addprinc ron
>addprinc root
exit
sprawdzam rona i mam bilet. czyli wygląda na to że kerberos działa.
ale schody się zaczynają przy 2 komputerze kliencie.
instaluje na nim
# apt-get install krb5-user krb5-clients
kopiuje krb5.conf z serwera do /etc/krb5.conf klienta tworze pliki logow.
probuje
#kinit ron/admin
podaje haslo, sprawdzam mam bilet. chce uruchomic kadmin i musze ponownie podawac haslo czego juz nie powinno byc.
instaluje krb5-telnetd na serwerze.
aptitude install krb5-telnetd
i na kliencie daje
telnet -a gryffindor
Trying 10.10.10.2...
Connected to gryffindor.hogwarth.edu (10.10.10.2).
Escape character is '^]'.
Password for root:
Login incorrect
powinno nie byc hasla nie wiem gdzie jest blad.
tu mam plik strefz y binda
$TTL 2d ; zone TTL default = 2 days or 172800 seconds
$ORIGIN hogwarth.edu.
@ IN SOA gryffindor.hogwarth.edu. wojtekgiel.wp.pl. (
2007091001 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
86400 ) ; Negative Cache TTL
;
;
IN NS gryffindor
;
;
localhost IN A 127.0.0.1
gryffindor IN A 10.10.10.2
kerberos IN A 10.10.10.2
ldap IN A 10.10.10.2
ravenclaw IN A 10.10.10.3
slytherin IN A 10.10.10.5
IN A 10.10.10.6
Dumbledore IN A 10.10.10.1
IN A 195.22.124.112
;
;
_kerberos IN TXT "HOGWARTH.EDU"
_kerberos._tcp.HOGWARTH.EDU. IN SRV 0 0 88 kerberos
_kerberos._udp.HOGWARTH.EDU. IN SRV 0 0 88 kerberos
_kerberos-master._udp.HOGWARTH.EDU. IN SRV 0 0 88 kerberos
_kerberos-adm._tcp.HOGWARTH.EDU. IN SRV 0 0 749 kerberos
_kpasswd._udp.HOGWARTH.EDU. IN SRV 0 0 464 kerberos
;
;
_ldap._tcp IN SRV 0 0 389 ldap
;
;
d195 IN A 195.22.124.112
d10 IN A 10.10.10.1
[/quote]
moze ktos ma jakies sugestie. dziekiOffline
Gdy chcesz użyć np telnet lub ftp via kerberos to musisz utworzyć następujące konta:
host/gryffindor.hogwarth.edu
ftp/gryffindor.hogwarth.edu
Dla konta host/.... jest pzrewidziana usługa telnet, rlogin i rsh.
Następnie w /etc/inet.d.conf musisz mieć:
ftp stream tcp nowait root /usr/sbin/ftpd ftpd -a -l telnet stream tcp nowait root /usr/sbin/telnetd telnetd -a valid
Chętnie wymienie się jeszcze jakimiś informacjami nt kerberosa :)
Offline
He he
Jestescie chyba jedynymi ludzmi na linuksowych forach polskich dyskutujacych o KerberOS dlatego do was sie zwracam z pytaniem :P
Wątek stary ale mysle ze krzywda sie nie stanie jak go trochę odświeżę:)
Tak więc mam taką sytuację że mam kompa który rozdziela neta na rózne inne serwery. On jest widziany w sieci wewnętrzej jako lo5. Komputer na którym chce postawić kerberosa ma domenę macserv.lo5. Moje pytanie jest więc takie.. Czy to dobrze że w realm umieszczam nazwę LO5? Czy też powinno być macserv.lo5?
macserv:/home/user# kinit kuba/admin kinit(v5): Cannot resolve network address for KDC in requested realm while getting initial credentials
na tym etapie w konfiguracji się zatrzymałem. Nie idę dalej bo nie ma paszportu. Co robię źle?? configi są praktycznie identyczne jak w 1 poscie tylko zamiast hogwart jest LO5 :)
Offline
Dopisz do /etc/hosts
Twój IP LO5
Offline
Time (s) | Query |
---|---|
0.00011 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00056 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.133.138.25' WHERE u.id=1 |
0.00099 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.133.138.25', 1734495339) |
0.00031 | SELECT * FROM punbb_online WHERE logged<1734495039 |
0.00046 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=9631 AND t.moved_to IS NULL |
0.00020 | SELECT search_for, replace_with FROM punbb_censoring |
0.00213 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=9631 ORDER BY p.id LIMIT 0,25 |
0.00081 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=9631 |
Total query time: 0.00561 s |