Computerclub Pinneberg

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
kerberos

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
kerberos [31.01.2022 06:58] thoogekerberos [17.10.2025 11:22] (aktuell) – [Client] thooge
Zeile 1: Zeile 1:
 ====== Kerberos ====== ====== Kerberos ======
  
-Hauptanwendung ist sicheres NFS.+Hauptanwendung ist sicheres [[NFS]].
  
-===== Server =====+Voraussetzung ist ein funktionierendes DNS. Alle beteiligten Systeme müssen 
 +auflösbar sein. Sowohl mit ''A''- als auch ''PTR''-Record. 
 + 
 +===== Installation ===== 
 + 
 +==== Server ====
  
 Der Server stellt sowohl den KDC als auch den Admin-Server zur Verfügung. Der Server stellt sowohl den KDC als auch den Admin-Server zur Verfügung.
Zeile 22: Zeile 27:
     * ''ktadd host/server.example.com''     * ''ktadd host/server.example.com''
       * erzeugt eine Keytab-Datei auf dem aktuellen Server in ''/etc''       * erzeugt eine Keytab-Datei auf dem aktuellen Server in ''/etc''
-      * enthalten ist der im vorigen Befehl erzeugte Principal+      * enthalten ist der im vorigen Befehl erzeugte Principal für den Server
     * ''quit''     * ''quit''
   - ''/etc/krb5kdc/kadm5.acl'' bearbeiten   - ''/etc/krb5kdc/kadm5.acl'' bearbeiten
     * ''root/admin *'', Berechtigung für den zuvor erzeugten Admin-Principal     * ''root/admin *'', Berechtigung für den zuvor erzeugten Admin-Principal
 +  - ''/etc/default/nfs-kernel-server''
 +    * ''NEED_SVCGSSD="yes"''
   - Daemonen neu starten, damit die erzeugte Konfiguration aktiv wird   - Daemonen neu starten, damit die erzeugte Konfiguration aktiv wird
     * ''krb5-kdc''     * ''krb5-kdc''
     * ''kadmind''     * ''kadmind''
 +
 +==== Client ====
 +
 +<code>
 +apt-get install krb5-user
 +</code>
 +
 +Konfiguration
 +  - ''kadmin''
 +    * spricht mit dem ''kadmind'' auf dem Server
 +    * ''addprinc -randkey host/client.example.com''
 +    * ''ktadd host/client.example.com''
 +      * Legt auf dem aktuellen Rechner (Client) eine Keytab-Datei an
 +      * enthalten ist der im vorigen Befehl erzeugte Principal für den Client
 +    * ''quit''
 +  - ''/etc/default/nfs-common''
 +    * ''NEED_IDMAPD=yes''
 +    * ''NEED_GSSD=yes''
 +  - Daemonen neu starten
 +    * ''nfs-common''
 +
 +Hinweis: mit ''ktutil'' kann man sich den Inhalt einer Keytab-Datei anzeigen lassen, zur Überprüfung, ob alles so funktioniert hat wie gewünscht.
 +
 +==== Kinit automatisieren ====
 +
 +Manuell anlegen einer Keytab welche einen Namen enthält und ein zugeordnetes Kennwort.
 +Dieses kann dann für den ''kinit''-befehl verwendet werden, so daß dieser keine 
 +Eingabeaufforderung für ein Kennwort mehr benötigt:
 +<code>
 +ktutil
 +ktutil: addent -password -p username@EXAMPLE.COM -k 1 -e rc4-hmac
 +ktutil: wkt /home/username/example.keytab
 +ktutil: exit
 +</code>
 +
 +Überprüfen:
 +  klist -e -k -t example.keytab
 +
 +''kinit'' automatisieren:
 +  kinit username@EXAMPLE.COM -k -t /home/username/example.keytab
 +  
 +===== Nutzung =====
 +
 +Bereitstellen von NFS-Verzeichnissen durch den Server
 +
 +TODO noch unklar ob das die "optimalen" Einstellungen sind oder es ggf. bessere / elegantere Möglichkeiten gint
 +
 +<file conf /etc/exports>
 +/export gss/krb5p(rw,fsid=0,insecure,no_subtree_check,async,anonuid=65534,anongid=65534)
 +/export/volume1 gss/krb5p(rw,nohide,insecure,no_subtree_check,async,anonuid=65534,anongid=65534)
 +</file>
 +
 +Anbinden von NFS-Freigaben an den Client
 +<code>
 +mount -t nfsv4 -osec=krb5p server:/volume1 /mnt
 +</code>
  
kerberos.1643612306.txt.gz · Zuletzt geändert: von thooge
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki