[gelöst]SSH Login über Kerberos

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
Trollkirsche
Beiträge: 433
Registriert: 08.08.2015 15:03:09
Wohnort: Schweiz

[gelöst]SSH Login über Kerberos

Beitrag von Trollkirsche » 11.05.2020 09:59:56

Hallo zusammen,

Zurzeit arbeite ich daran, ein Kerberos System aufzubauen, dass im Anschluss als zentrale Anlaufstelle für das AD dient.

Ich habe Kerberos Server installiert und konfiguriert. Wenn ich mich als einen User per kinit auf dem Server selbst einlogge, erhalte ich ein Ticket, funktioniert also alles soweit.

Wenn ich mich jedoch über SSH auf den Server verbinde und im Anschluss klist eingebe, so erhalte ich folgendes:
klist: Schlüsselbund persistent:1001:1001 des Anmeldedatenzwischenspeichers nicht gefunden

Warum erhalte ich diese Meldung und kann mir kein vergebenes Ticket anzeigen lassen?

Unter dem Abschnitt [realms] in der krb5.conf stehen zwei Einträge:

kdc =
admin_server =

Kann ich dort einfach den DNS Namen meines KDC Servers eingeben oder muss ich das kerberos. dort eintragen?

Danke,
Zuletzt geändert von Trollkirsche am 18.05.2020 10:10:15, insgesamt 1-mal geändert.

Trollkirsche
Beiträge: 433
Registriert: 08.08.2015 15:03:09
Wohnort: Schweiz

Re: SSH Login über Kerberos

Beitrag von Trollkirsche » 11.05.2020 10:47:16

Ok ich konnte mich mittlerweile mit einem neu angelegten Benutzer, dem ich kein Passwort in der /etc/passwd Datei erteilt habe, per SSH über Kerberos einloggen. Funktioniert also alles soweit.

Leider funktioniert das nur bei neu angelegten Benutzern. Bei den bereits existierenden erhalte ich folgende Meldung:
klist: Schlüsselbund persistent:1001:1001 des Anmeldedatenzwischenspeichers nicht gefunden

Was kann ich machen damit die bereits existierenden Benutzer, die zwischenzeitlich auch in Kerberos per kadmin.local angelegt wurden, erkannt werden?

uname
Beiträge: 10162
Registriert: 03.06.2008 09:33:02

Re: SSH Login über Kerberos

Beitrag von uname » 12.05.2020 08:37:49

Leider habe ich keine Ahnung. Aber vor Jahren habe ich mal mich mal mit LDAP und Benutzeranmeldung beschäftigt.

Du könntest mal schauen, ob die Benutzer korrekt aufgelöst werden. Leider weiß ich nicht, ob das für Kerberos wie für LDAP gilt.

Code: Alles auswählen

getent passwd
getent shadow
getent group
Gibt es einen Unterschied zwischen den alten und dem neu angelegten Benutzer?
Hast du Kerberos korrekt dafür eingebunden?
Vielleicht hilft es. Wenn nicht, dann leider nicht.

Trollkirsche
Beiträge: 433
Registriert: 08.08.2015 15:03:09
Wohnort: Schweiz

Re: SSH Login über Kerberos

Beitrag von Trollkirsche » 12.05.2020 09:52:55

uname hat geschrieben: ↑ zum Beitrag ↑
12.05.2020 08:37:49
Leider habe ich keine Ahnung. Aber vor Jahren habe ich mal mich mal mit LDAP und Benutzeranmeldung beschäftigt.

Du könntest mal schauen, ob die Benutzer korrekt aufgelöst werden. Leider weiß ich nicht, ob das für Kerberos wie für LDAP gilt.

Code: Alles auswählen

getent passwd
getent shadow
getent group
Gibt es einen Unterschied zwischen den alten und dem neu angelegten Benutzer?
Hast du Kerberos korrekt dafür eingebunden?
Vielleicht hilft es. Wenn nicht, dann leider nicht.
Das Problem besteht in der Tat nur mit meinem Benutzer. Alle anderen Benutzer können sich nun über kerberos per SSH einloggen und bekommen ein Ticket ausgehändigt. Ich probiere nacher nochmal die Datenbank und meinen Benutzer neu anzulegen und schau ob ich weiter komme.

Ein weiterer Punkt wäre jetzt im Grunde die Authentifizierung für Dienste, die auf anderen Servern liegen.

Ich habe hierfür einen principal erzeugt, im Stile von :
addprinc -randkey host/server.example.com

Hierbei habe ich natürlich den DNS Namen angepasst und das host gelassen.

Nach meinem Verständnis müsste es jetzt doch möglich sein, sich auf den anderen Server einzuloggen. Oder muss ich auf dem anderen Server noch die Kerberos Client Packages installieren?

Bis dann!

Antworten