Kerberos: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
| Zeile 21: | Zeile 21: | ||
== 2. NFS mit sec=krb5p == | == 2. NFS mit sec=krb5p == | ||
Mount : mount shodan:/home /home -o sec=krb5p | Mount : mount shodan:/home /home -o sec=krb5p | ||
| Zeile 51: | Zeile 49: | ||
<pre> | <pre> | ||
host/ | host/rasmatazz.intern.darkrealm.dyndns.org | ||
</pre> | </pre> | ||
| Zeile 68: | Zeile 66: | ||
slot KVNO Principal | slot KVNO Principal | ||
---- ---- --------------------------------------------------------------------- | ---- ---- --------------------------------------------------------------------- | ||
1 2 host/ | 1 2 host/rasmatazz.intern.darkrealm.dyndns.org@INTERN.DARKREALM.DYNDNS.ORG | ||
2 2 host/ | 2 2 host/rasmatazz.intern.darkrealm.dyndns.org@INTERN.DARKREALM.DYNDNS.ORG | ||
</pre> | </pre> | ||
3. SSH mit - | 3. SSH mit -k | ||
server scheint keytab-entry host/shodan.intern.darkrealm.dyndns.org zu brauchen. | SSH-server scheint keytab-entry host/shodan.intern.darkrealm.dyndns.org zu brauchen. | ||
Version vom 5. Juli 2018, 21:53 Uhr
MIT-KRB HowTo
1. DNS einrichten
Folgende RR's in die Zone eintragen
_kerberos.intern.darkrealm.dyndns.org TXT "INTERN.DARKREALM.DYNDNS.ORG" _kerberos.intern.darkrealm.dyndns.org SRV 1 0 89 shodan.intern.darkrealm.dyndns.org. _kerberos-adm.intern.darkrealm.dyndns.org SRV 1 0 777 shodan.intern.darkrealm.dyndns.org. (wird noch? nicht ausgewertet) _kerberos.intern.darkrealm.dyndns.org SRV 1 0 89 shodan.intern.darkrealm.dyndns.org. _kpasswd.intern.darkrealm.dyndns.org SRV 1 0 464 shodan.intern.darkrealm.dyndns.org.
Das reicht um Rechner ohne /etc/krb5.conf auf den default realm hinzuweisen. Weil _kerberos-adm zurzeit noch nicht ausgewertet wird muss man folgendes in der /etc/krb5.conf eintragen:
[realms]
INTERN.DARKREALM.DYNDNS.ORG = {
admin_server = shodan.intern.darkrealm.dyndns.org:777
}
2. NFS mit sec=krb5p
Mount : mount shodan:/home /home -o sec=krb5p
Server: rpc.svcgssd braucht keytab /etc/krb5.keytab
rpc.svcgssd braucht explizit nfs/<fqdn> principal (erstmal egal welcher FQDN, aber der client kann nicht connecten wenn fqdn vom server nicht drinsteht)
Also in die keytab:
nfs/shodan.intern.darkrealm.dyndns.org
Client: Client sucht laut man rpc.gssd folgende Einträge in der keytab: (scheinbar geht es hier nur um machine credentials, egal wie der principal heisst)
<HOSTNAME>$@<REALM>
root/<hostname>@<REALM>
nfs/<hostname>@<REALM>
host/<hostname>@<REALM>
root/<anyname>@<REALM>
nfs/<anyname>@<REALM>
host/<anyname>@<REALM>
Also in die keytab:
host/rasmatazz.intern.darkrealm.dyndns.org
KVNO's müssen auf jedem Rechner gleich sein !
Keytab auf dem Server :
slot KVNO Principal ---- ---- --------------------------------------------------------------------- 1 2 nfs/shodan.intern.darkrealm.dyndns.org@INTERN.DARKREALM.DYNDNS.ORG 2 2 nfs/shodan.intern.darkrealm.dyndns.org@INTERN.DARKREALM.DYNDNS.ORG
Keytab auf dem Client :
slot KVNO Principal ---- ---- --------------------------------------------------------------------- 1 2 host/rasmatazz.intern.darkrealm.dyndns.org@INTERN.DARKREALM.DYNDNS.ORG 2 2 host/rasmatazz.intern.darkrealm.dyndns.org@INTERN.DARKREALM.DYNDNS.ORG
3. SSH mit -k
SSH-server scheint keytab-entry host/shodan.intern.darkrealm.dyndns.org zu brauchen.