Openstuff Wiki : HowtoKerberos

HomePage :: Categories :: PageIndex :: RecentChanges :: RecentlyCommented :: Login/Register

Revision [191]

Last edited on 2006-09-16 12:39:20 by StanKju
Additions:
Le fichier krb5.conf devra être configuré sur l'ensemble des clients. Il permet d'indiquer les différents royaumes ainsi que leur KDC respectif (Key Distribution Center = serveur kerberos).
Le password qui serra demandé ici, permettra le chiffrement de la base. A partir de maintenant, nous pouvons vérifier l'accès au KDC via la commande kadmin.local. Cette dernière est identique à la commande kadmin mais outrepasse les ACL root (utilisation locale uniquement).
Nous pouvons déjà regarder les comptes principaux créés par défaut :
Le fichier /etc/krb5kdc/kadm5.keytab devrait donc maintenant contenir les clés correspondantes.
Le démarrage se fait comme suit:
===2.1 Installation des packages===
Pour tester que tous fonctionnent correctement, vous devriez pouvoir effectuer la séquence suivante:
Sur le client, nous allons utiliser PAM. Pour ce faire, il faut ajouter les lignes suivantes aux différents fichiers:
Le mot de passe crypté qui est ici *K* est utilisé pour indiquer que le mot de passe provient de kerberos.
Deletions:
Le fichier krb5.conf devra être configurer sur l'ensemble des client. Il permet d'indiquer les différents royaumes ainsi que leur KDC respectif (Key Distribution Center = serveur kerberos).
Le password qui serra demandé ici, permettra le chiffrement de la base. A partir de maintenant, nous pouvons vérifier l'accès au KDC via la commade kadmin.local. Cette dernière est identique à la commande kadmin mais outrepasse les ACL root (utilisation locale uniquement).
Nous pouvons déja regarder les comptes principaux créés par defaut :
Le fichier /etc/krb5kdc/kadm5.keytab devrais donc maintenant contenir les clés correspondantes.
Le démarrage ce fait comme suit:
===2.1 Installtion des packages===
Pour tester que tous fonctionne correctement, vous devriez pouvoir effectuer la séquence suivante:
Sur le client, nous allons utiliser PAM. Pour ce faire il faut ajouter les lignes suivantes au différents fichiers:
Le mot de passe crypter qui est ici *K* est utiliser pour indiquer que le mot de passe proviens de kerberos.


Revision [111]

Edited on 2006-07-21 16:39:13 by StanKju
Additions:
Nous allons voir dans un premier temps la mise en place d'un serveur Kerberos sous GNU/Linux. Puis dans la seconde partie, nous verrons la configuration des clients ainsi que l'authentification système via PAM.


Revision [110]

Edited on 2006-06-27 11:43:15 by StanKju
Additions:
olivier:*K*:13306:0:99999:7:::
Deletions:
toto:*K*:13306:0:99999:7:::


Revision [109]

Edited on 2006-06-27 11:32:50 by StanKju
Additions:
====2 Installation/configuration des clients====
Deletions:
====2 Installation/configuration des client====


Revision [98]

Edited on 2006-06-08 18:57:01 by StanKju
Additions:
K/M@EXAMPLE.COM
kadmin/admin@EXAMPLE.COM
kadmin/changepw@EXAMPLE.COM
kadmin/history@EXAMPLE.COM
krbtgt/EXAMPLE.COM@EXAMPLE.COM
*/admin@EXAMPLE.COM *
# kinit admin/admin@EXAMPLE.COM
Password for admin/admin@EXAMPLE.COM:
Deletions:
K/M@FRANCETELECOM.COM
kadmin/admin@FRANCETELECOM.COM
kadmin/changepw@FRANCETELECOM.COM
kadmin/history@FRANCETELECOM.COM
krbtgt/FRANCETELECOM.COM@FRANCETELECOM.COM
*/admin@FRANCETELECOM.COM *
# kinit admin/admin@FRANCETELECOM.COM
Password for admin/admin@FRANCETELECOM.COM:


Revision [97]

Edited on 2006-06-08 10:12:44 by StanKju
Additions:
D'une machine tierce faire un SSH sur le client Kerberos:
En faisant un ''tail -f /var/log/auth.log'' sur le serveur vous devriez obtenir:
Jun 8 10:24:03 192.168.5.7 sshd[18175]: (pam_unix) check pass; user unknown
Jun 8 10:24:03 192.168.5.7 sshd[18175]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=***
Jun 8 10:24:03 ldapserver krb5kdc[602]: AS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.5.7: NEEDED_PREAUTH: olivier@EXAMPLE.COM for krbtgt/EXAMPLE.COM@EXAMPLE.COM, Additional pre-authentication required
Jun 8 10:24:03 ldapserver krb5kdc[602]: AS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.5.7: ISSUE: authtime 1149755043, etypes {rep=16 tkt=16 ses=16}, olivier@EXAMPLE.COM for krbtgt/EXAMPLE.COM@EXAMPLE.COM
Jun 8 10:24:03 192.168.5.7 sshd[18175]: Accepted keyboard-interactive/pam for olivier from 192.168.5.55 port 39932 ssh2
Jun 8 10:24:03 192.168.5.7 sshd[14434]: (pam_unix) session opened for user olivier by (uid=0)


Revision [96]

The oldest known version of this page was created on 2006-06-08 10:08:16 by StanKju
Valid XHTML 1.0 Transitional :: Valid CSS :: Powered by WikkaWiki
Page was generated in 0.0871 seconds