Kerberos

Tijdens de ledenvergadering van 11/10/2006 stelde kromagg voor om Kerberos te gebruiken voor UserAuthentication als extra laag boven ldap. (Ldap was immers niet ontwikkeld voor authenticatie).

In februari 2011 ging Jens hier mee vanstart op de nieuwe ike server (eigenlijk op virtual machine clarke).

• username/pws zitten in kerberos db
• kerberos doet enkel username/pw, dus enkel authentication, niets anders
• inloggen bij kerberos geeft u een ticket
  • gebruik dit ticket bij alerhande services zonder uw pw opnieuw te moeten ingeven
    • vb: ssh zeus.ugent.be -p 2222, geef password in, vanaf nu nooit meer pw nodig (voor ssh tweek) etc…
• pws gaan nooit over het netwerk
• Linux-pam

Laat andere services authentication en authorizition via dit centraal systeem doen *service vraagt pam om authenticatie/authorizatie, pam doet vb promt user for info, ask ldap, ask kerberos,… en antwoord naar service. (black box)

Om bijvoorbeeld de .forward van een user te raadplegen voer je het volgende uit:

kinit root/admin
aklog
cat /afs/zeus.ugent.be/user/{user}/.forward 

• voeg user toe aan ldap (zoals nu,maar zonder passwords).
• voeg user toe aan kerberos (met kadmin, addprinc username) enkel passwoord.
• voeg user toe aan afs (met pts createuser username userid (hiervoor moet je eerst kadmin root/admin runnen, op clarke))
• home dir aanmaken op afs (als root/admin op clarke)
  • vos create clarke a user.username quota
  • Creating and mounting volumes here

• verwijder user uit ldap
• verwijder user uit pts entries
• verwijder vols met vos
• verwijder dirs met fs

• install kerberos: http://www.debian-administration.org/articles/570 [http://techpubs.spinlocksolutions.com/dklar/kerberos.html]
• Kerberized services
• Stel via PAM Kerberos etc. in (zie puppet)
• Voer op de doel-machine

  kinit -p root/admin

  (gebruik hierbij steeds de FQDN)

kadmin> addprinc -randkey host/tweek.kelder.zeus.ugent.be

kadmin> **ktadd -k /etc/krb5.keytab host/tweek.kelder.zeus.ugent.be**

• clients:

configuratie zit in puppet ssh: heeft enkele config opties nodig in debian: (installeer ssh-krb5 en deze worden aangepast)

   HashKnownHosts yes
   GSSAPIAuthentication yes
   GSSAPIDelegateCredentials no

Aangezien zowat alles pam gebruikt moet er eigenlijk niet veel gebeuren, na installatie en configuratie werkt alles met pam. Apparte krb services of clients zijn niet nodig.

• scraper:kerberos-1.png