====== Kerberos ======

Tijdens de ledenvergadering van 11/10/2006 stelde kromagg voor om [[http://web.mit.edu/Kerberos/|Kerberos]] te gebruiken voor UserAuthentication als extra laag boven ldap. (Ldap was immers niet ontwikkeld voor authenticatie).

In februari 2011 ging [[Jens]] hier mee vanstart op de nieuwe [[ike]] server (eigenlijk op virtual machine [[clarke]]).

== Kerberos ==

  * username/pws zitten in kerberos db
  * kerberos doet enkel username/pw, dus enkel authentication, niets anders
  * inloggen bij kerberos geeft u een ticket
    * gebruik dit ticket bij alerhande services zonder uw pw opnieuw te moeten ingeven
      * vb: ssh zeus.ugent.be -p 2222, geef password in, vanaf nu nooit meer pw nodig (voor ssh tweek) etc...
  * pws gaan nooit over het netwerk
  * Linux-pam
 **Laat andere services authentication en authorizition via dit centraal systeem doen
 ***service vraagt pam om authenticatie/authorizatie, pam doet vb promt user for info, ask ldap, ask kerberos,... en antwoord naar service. (black box)

=====AFS directories accessen=====
Om bijvoorbeeld de .forward van een user te raadplegen voer je het volgende uit:
  kinit root/admin
  aklog
  cat /afs/zeus.ugent.be/user/{user}/.forward 

=====User toevoegen=====
  * voeg user toe aan ldap (zoals nu,maar zonder passwords).
  * voeg user toe aan kerberos (met kadmin, addprinc username) enkel passwoord.
  * voeg user toe aan afs (met pts createuser username userid (hiervoor moet je eerst kadmin root/admin runnen, op clarke))
  * home dir aanmaken op afs (als root/admin op clarke)
    * vos create clarke a user.username quota
    * Creating and mounting volumes [[http://techpubs.spinlocksolutions.com/dklar/afs.html#afs-install-server|here]]

=====User verwijderen=====
  * verwijder user uit ldap
  * verwijder user uit pts entries
  * verwijder vols met vos
  * verwijder dirs met fs

=====installation=====
  * install kerberos: [[http://www.debian-administration.org/articles/570]] [http://techpubs.spinlocksolutions.com/dklar/kerberos.html]
  * Kerberized services
  * Stel via PAM Kerberos etc. in (zie [[archief:puppet]])
  * Voer op de doel-machine <code>kinit -p root/admin</code> (gebruik hierbij steeds de FQDN)
  kadmin> **addprinc -randkey host/tweek.kelder.zeus.ugent.be**
  kadmin> **ktadd -k /etc/krb5.keytab host/tweek.kelder.zeus.ugent.be**

  * clients:
 **configuratie zit in [[archief:puppet]]
 **ssh: heeft enkele config opties nodig in debian: (installeer ssh-krb5 en deze worden aangepast)
     HashKnownHosts yes
     GSSAPIAuthentication yes
     GSSAPIDelegateCredentials no


Aangezien zowat alles pam gebruikt moet er eigenlijk niet veel gebeuren, na installatie en configuratie werkt alles met pam. Apparte krb services of clients zijn niet nodig.

=====shema=====
  * scraper:kerberos-1.png