Kerberiseeritud OpenSSH31. Oct '13

Sissejuhatus

Suuremas asutuses on mõistlik OpenSSH serveris autentida Kerberose abil. See tähendab, et OpenSSH serverisse saab paroolita sisse logida eeldusel, et kasutajal on ticket-granting-ticket. Enne jätkamist veendu, et autentmine töötab winbind abil ning parooliga saab SSH serverisse sisse logida.

Serveri seadistamine

Lisa järnevad read faili /etc/ssh/sshd_config:

# Kerberos options
KerberosAuthentication yes
#KerberosGetAFSToken no
KerberosOrLocalPasswd yes
KerberosTicketCleanup yes

# GSSAPI options
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes

Taaskäivita ka teenus:

/etc/init.d/ssh restart

Kliendi seadistamine

Paigalda SASL2 jaoks GSSAPI moodul, SSH kasutab SASL2 teeki ühenduse autentimisel:

apt-get install libsasl2-modules-gssapi-heimdal

Testimine

Sisselogimine peaks automaagiliselt toimima, kui see ebaõnnestuma peaks: kontrolli, et server oleks õigesti domeeni liidetud ning et kliendi masina poolel tekiks klist alla täiendavad teenusserveri ticketid:

Ticket cache: FILE:/tmp/krb5cc_10000_o0xc0J
Default principal: lauri@EXAMPLE.ORG

Valid starting       Expires              Service principal
24.05.2015 20:11:26  25.05.2015 06:11:26  krbtgt/EXAMPLE.ORG@EXAMPLE.ORG
        renew until 25.05.2015 20:11:24
24.05.2015 21:09:57  25.05.2015 06:11:26  host/koorik.example.org@EXAMPLE.ORG
        renew until 25.05.2015 20:11:24

Kui kliendi /etc/krb5.conf failis on kirjas forwardable=true, siis peaks ticket-granting-ticket kaasa tulema ka serverisse. See tähendab, et sealt saab edasi sisse logida teenustesse, mis kasutavad Kerberost autentimiseks:

Ticket cache: FILE:/tmp/krb5cc_10000_ujVtIwdGW0
Default principal: lauri@ID.STIPIT.COM

Valid starting     Expires            Service principal
05/24/15 18:26:39  05/25/15 03:11:26  krbtgt/EXAMPLE.ORG@EXAMPLE.ORG
        renew until 05/25/15 17:11:24

Sisselogimine võib ebaõnnestuda, kui nimeserver ei suuda teenusserveri IP-d tagasi lahendada masinanimeks.

Kerberos GSSAPI OpenSSH Samba4 Active Directory