Differences

This shows you the differences between two versions of the page.

--- kerberos [2015/08/02 16:49]
127.0.0.1 external edit
+++ kerberos [2021/11/23 14:14] (current)
@@ Line 1: / Line 1: @@
 ====== Kerberos ======
+Tijdens de ledenvergadering van 11/10/2006 stelde kromagg voor om [[http://web.mit.edu/Kerberos/|Kerberos]] te gebruiken voor UserAuthentication als extra laag boven ldap. (Ldap was immers niet ontwikkeld voor authenticatie).
+In februari 2011 ging [[Jens]] hier mee vanstart op de nieuwe [[ike]] server (eigenlijk op virtual machine [[clarke]]).
+== Kerberos ==
+  * username/pws zitten in kerberos db
+  * kerberos doet enkel username/pw, dus enkel authentication, niets anders
+  * inloggen bij kerberos geeft u een ticket
+    * gebruik dit ticket bij alerhande services zonder uw pw opnieuw te moeten ingeven
+      * vb: ssh zeus.ugent.be -p 2222, geef password in, vanaf nu nooit meer pw nodig (voor ssh tweek) etc...
+  * pws gaan nooit over het netwerk
+  * Linux-pam
+ **Laat andere services authentication en authorizition via dit centraal systeem doen
+ ***service vraagt pam om authenticatie/authorizatie, pam doet vb promt user for info, ask ldap, ask kerberos,... en antwoord naar service. (black box)
+=====AFS directories accessen=====
+Om bijvoorbeeld de .forward van een user te raadplegen voer je het volgende uit:
+  kinit root/admin
+  aklog
+  cat /afs/zeus.ugent.be/user/{user}/.forward
+=====User toevoegen=====
+  * voeg user toe aan ldap (zoals nu,maar zonder passwords).
+  * voeg user toe aan kerberos (met kadmin, addprinc username) enkel passwoord.
+  * voeg user toe aan afs (met pts createuser username userid (hiervoor moet je eerst kadmin root/admin runnen, op clarke))
+  * home dir aanmaken op afs (als root/admin op clarke)
+    * vos create clarke a user.username quota
+    * Creating and mounting volumes [[http://techpubs.spinlocksolutions.com/dklar/afs.html#afs-install-server|here]]
+=====User verwijderen=====
+  * verwijder user uit ldap
+  * verwijder user uit pts entries
+  * verwijder vols met vos
+  * verwijder dirs met fs
+=====installation=====
+  * install kerberos: [[http://www.debian-administration.org/articles/570]] [http://techpubs.spinlocksolutions.com/dklar/kerberos.html]
+  * Kerberized services
+  * Stel via PAM Kerberos etc. in (zie [[archief:puppet]])
+  * Voer op de doel-machine <code>kinit -p root/admin</code> (gebruik hierbij steeds de FQDN)
+  kadmin> **addprinc -randkey host/tweek.kelder.zeus.ugent.be**
+  kadmin> **ktadd -k /etc/krb5.keytab host/tweek.kelder.zeus.ugent.be**
+  * clients:
+ **configuratie zit in [[archief:puppet]]
+ **ssh: heeft enkele config opties nodig in debian: (installeer ssh-krb5 en deze worden aangepast)
+     HashKnownHosts yes
+     GSSAPIAuthentication yes
+     GSSAPIDelegateCredentials no
+Aangezien zowat alles pam gebruikt moet er eigenlijk niet veel gebeuren, na installatie en configuratie werkt alles met pam. Apparte krb services of clients zijn niet nodig.
+=====shema=====
+  * scraper:kerberos-1.png