Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2007-11-07 13:53:09

  whale - Członek DUG

whale
Członek DUG
Skąd: Cambridge
Zarejestrowany: 2005-09-01

autentykacja kerberosem

Witam
Chcę postawić openldap z autoryzacją kerberosem. więc najpierw stawiam kerberosa nie potrafię na 100% określić czy działa. Nie śmiejcie się z mojej domeny lubię tę książkę :-).

na serwerze zainstalowałem:

aptitude install krb5-admin-sever krb5-kdc

i skonfigurowałem /etc/krb5.conf


[libdefaults]
        default_realm = HOGWARTH.EDU

# The following krb5.conf variables are only for MIT Kerberos.
        krb4_config = /etc/krb.con
        krb4_realms = /etc/krb.realms
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true

# The following encryption type specification will be used by MIT Kerberos
# if uncommented.  In general, the defaults in the MIT Kerberos code are
# correct and overriding these specifications only serves to disable new
# encryption types as they are added, creating interoperability problems.

        default_tgs_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
        default_tkt_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
        permitted_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5

[realms]
        HOGWARTH.EDU = {
                kdc = gryffindor.hogwarth.edu
                admin_server = gryffindor.hogwarth.edu
                default_domain = hogwarth.edu
        }

[domain_realm]
                hogwarth.edu = HOGWARTH.EDU
                .hogwarth.edu = HOGWARTH.EDU

[logging]
                kdc = FILE:/var/log/kerberos/krb5kdc.log
                admin_server = FILE:/var/log/kerberos/kadmin.log
                default = FILE:/var/log/kerberos/krb5lib.log
[login]
        krb4_convert = false
        krb4_get_tickets = false
[/quote]

utworzyłem pliki logów touch /var/log/kerberos/{krb5kdc.log,kadmin.log,krb5lib.log}

skonfigurowałem /etc/krb5kdc/kdc.conf



[kdcdefaults]
    kdc_ports = 750,88

[realms]
    HOGWARTH.EDU = {
        database_name = /var/lib/krb5kdc/principal
        admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab
        acl_file = /etc/krb5kdc/kadm5.acl
        key_stash_file = /etc/krb5kdc/stash
        kdc_ports = 750,88
        max_life = 10h 0m 0s
        max_renewable_life = 7d 0h 0m 0s
        master_key_type = des3-hmac-sha1
        supported_enctypes = des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3
        default_principal_flags = +preauth
    }
[/quote]

utworzyłem plik stash
#kdb5_util create -s

następnie kadmin.local tworze użutkownika ron/admin
#kadmin.local
>addprinc ron/admin
>listprincs
K/M@HOGWARTH.EDU
kadmin/admin@HOGWARTH.EDU
kadmin/changepw@HOGWARTH.EDU
kadmin/gryffindor.hogwarth.edu@HOGWARTH.EDU
kadmin/history@HOGWARTH.EDU
ron/admin@HOGWARTH.EDU
>exit

i restartuję kdc
#/etc/init.d/krb5-kdc restart

daję
#kinit ron/admin
#klist

Ticket cache: FILE:/tmp/krb5cc_0
Default principal: ron/admin@HOGWARTH.EDU

Valid starting     Expires            Service principal
11/07/07 13:29:51  11/07/07 23:29:51  krbtgt/HOGWARTH.EDU@HOGWARTH.EDU
        renew until 11/08/07 13:29:47


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached

widać że mam bilet.



określam listę dostępu kadm5.acl


kadmin/admin@HOGWARTH.EDU *
ron/admin@HOGWARTH.EDU *
*/*@HOGWARTH.EDU i
[/quote]

i tworze plik keytab

#kadmin.local
ktadd -k /etc/krb5kdc/kadm5.keytab kadmin/admin changepw

no i na koniec tworzę użytkowników ron i root
# /etc/init.d/krb5-kdc restart
#kadmin.local
>addprinc ron
>addprinc root
exit

sprawdzam rona i mam bilet. czyli wygląda na to że kerberos działa.
ale schody się zaczynają przy 2 komputerze kliencie.

instaluje na nim
# apt-get install krb5-user krb5-clients

kopiuje krb5.conf z serwera do /etc/krb5.conf klienta tworze pliki logow.
probuje

#kinit ron/admin
podaje haslo, sprawdzam mam bilet. chce uruchomic kadmin i musze ponownie podawac haslo czego juz nie powinno byc.

instaluje krb5-telnetd na serwerze.
aptitude install krb5-telnetd 

i na kliencie daje

telnet -a gryffindor
Trying 10.10.10.2...
Connected to gryffindor.hogwarth.edu (10.10.10.2).
Escape character is '^]'.
Password for root:
Login incorrect

powinno nie byc hasla nie wiem gdzie jest blad.


tu mam plik strefz y binda


$TTL 2d ; zone TTL default = 2 days or 172800 seconds
$ORIGIN hogwarth.edu.
@       IN      SOA     gryffindor.hogwarth.edu. wojtekgiel.wp.pl. (
                          2007091001    ; Serial
                          604800        ; Refresh
                          86400         ; Retry
                          2419200       ; Expire
                          86400 )       ; Negative Cache TTL
;
;
        IN      NS      gryffindor
;
;
localhost   IN  A  127.0.0.1
gryffindor  IN  A  10.10.10.2
kerberos    IN  A  10.10.10.2
ldap        IN  A  10.10.10.2
ravenclaw   IN  A  10.10.10.3
slytherin   IN  A  10.10.10.5
            IN  A  10.10.10.6
Dumbledore  IN  A  10.10.10.1
                          IN  A  195.22.124.112
;
;
_kerberos             IN TXT         "HOGWARTH.EDU"
_kerberos._tcp.HOGWARTH.EDU.        IN SRV  0 0 88  kerberos
_kerberos._udp.HOGWARTH.EDU.        IN SRV  0 0 88  kerberos
_kerberos-master._udp.HOGWARTH.EDU. IN SRV  0 0 88  kerberos
_kerberos-adm._tcp.HOGWARTH.EDU.    IN SRV  0 0 749 kerberos
_kpasswd._udp.HOGWARTH.EDU.         IN SRV  0 0 464 kerberos
;
;
_ldap._tcp   IN SRV 0 0 389 ldap
;
;
d195        IN  A  195.22.124.112
d10         IN  A  10.10.10.1

[/quote]

moze ktos ma jakies sugestie. dzieki

Offline

 

#2  2007-11-24 10:38:21

  wojtekc - Użytkownik

wojtekc
Użytkownik
Zarejestrowany: 2007-11-23

Re: autentykacja kerberosem

Gdy chcesz użyć np telnet lub ftp via kerberos to musisz utworzyć następujące konta:
host/gryffindor.hogwarth.edu
ftp/gryffindor.hogwarth.edu

Dla konta host/....  jest pzrewidziana usługa telnet, rlogin i rsh.

Następnie w /etc/inet.d.conf musisz mieć:

Kod:

ftp         stream tcp nowait root /usr/sbin/ftpd ftpd -a -l
telnet     stream tcp nowait root /usr/sbin/telnetd telnetd -a valid

Chętnie wymienie się jeszcze jakimiś informacjami nt kerberosa :)

Offline

 

#3  2007-12-29 22:45:41

  kuba-g - Nowy użytkownik

kuba-g
Nowy użytkownik
Zarejestrowany: 2007-12-29

Re: autentykacja kerberosem

He he

Jestescie chyba jedynymi ludzmi na linuksowych forach polskich dyskutujacych o KerberOS dlatego do was sie zwracam z pytaniem :P
Wątek stary ale mysle ze krzywda sie nie stanie jak go trochę odświeżę:)
Tak więc mam taką sytuację że mam kompa który rozdziela neta na rózne inne serwery. On jest widziany w sieci wewnętrzej jako lo5. Komputer na którym chce postawić kerberosa ma domenę macserv.lo5. Moje pytanie jest więc takie.. Czy to dobrze że w realm umieszczam nazwę LO5? Czy też powinno być macserv.lo5?

Kod:

macserv:/home/user# kinit kuba/admin
kinit(v5): Cannot resolve network address for KDC in requested realm while getting initial credentials

na tym etapie w konfiguracji się zatrzymałem. Nie idę dalej bo nie ma paszportu. Co robię źle?? configi są praktycznie identyczne jak w 1 poscie tylko zamiast hogwart jest LO5 :)

Offline

 

#4  2007-12-30 17:40:49

  wojtekc - Użytkownik

wojtekc
Użytkownik
Zarejestrowany: 2007-11-23

Re: autentykacja kerberosem

Dopisz do /etc/hosts

Twój IP   LO5

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.007 seconds, 9 queries executed ]

Informacje debugowania

Time (s) Query
0.00011 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00056 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.133.138.25' WHERE u.id=1
0.00099 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.133.138.25', 1734495339)
0.00031 SELECT * FROM punbb_online WHERE logged<1734495039
0.00046 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=9631 AND t.moved_to IS NULL
0.00020 SELECT search_for, replace_with FROM punbb_censoring
0.00213 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=9631 ORDER BY p.id LIMIT 0,25
0.00081 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=9631
Total query time: 0.00561 s