Hallo zusammen,
Zurzeit arbeite ich daran, ein Kerberos System aufzubauen, dass im Anschluss als zentrale Anlaufstelle für das AD dient.
Ich habe Kerberos Server installiert und konfiguriert. Wenn ich mich als einen User per kinit auf dem Server selbst einlogge, erhalte ich ein Ticket, funktioniert also alles soweit.
Wenn ich mich jedoch über SSH auf den Server verbinde und im Anschluss klist eingebe, so erhalte ich folgendes:
klist: Schlüsselbund persistent1001 des Anmeldedatenzwischenspeichers nicht gefunden
Warum erhalte ich diese Meldung und kann mir kein vergebenes Ticket anzeigen lassen?
Unter dem Abschnitt [realms] in der krb5.conf stehen zwei Einträge:
kdc =
admin_server =
Kann ich dort einfach den DNS Namen meines KDC Servers eingeben oder muss ich das kerberos. dort eintragen?
Danke,
[gelöst]SSH Login über Kerberos
-
- Beiträge: 497
- Registriert: 08.08.2015 15:03:09
- Wohnort: Schweiz Zürich
[gelöst]SSH Login über Kerberos
Zuletzt geändert von Trollkirsche am 18.05.2020 10:10:15, insgesamt 1-mal geändert.
-
- Beiträge: 497
- Registriert: 08.08.2015 15:03:09
- Wohnort: Schweiz Zürich
Re: SSH Login über Kerberos
Ok ich konnte mich mittlerweile mit einem neu angelegten Benutzer, dem ich kein Passwort in der /etc/passwd Datei erteilt habe, per SSH über Kerberos einloggen. Funktioniert also alles soweit.
Leider funktioniert das nur bei neu angelegten Benutzern. Bei den bereits existierenden erhalte ich folgende Meldung:
klist: Schlüsselbund persistent1001 des Anmeldedatenzwischenspeichers nicht gefunden
Was kann ich machen damit die bereits existierenden Benutzer, die zwischenzeitlich auch in Kerberos per kadmin.local angelegt wurden, erkannt werden?
Leider funktioniert das nur bei neu angelegten Benutzern. Bei den bereits existierenden erhalte ich folgende Meldung:
klist: Schlüsselbund persistent1001 des Anmeldedatenzwischenspeichers nicht gefunden
Was kann ich machen damit die bereits existierenden Benutzer, die zwischenzeitlich auch in Kerberos per kadmin.local angelegt wurden, erkannt werden?
Re: SSH Login über Kerberos
Leider habe ich keine Ahnung. Aber vor Jahren habe ich mal mich mal mit LDAP und Benutzeranmeldung beschäftigt.
Du könntest mal schauen, ob die Benutzer korrekt aufgelöst werden. Leider weiß ich nicht, ob das für Kerberos wie für LDAP gilt.
Gibt es einen Unterschied zwischen den alten und dem neu angelegten Benutzer?
Hast du Kerberos korrekt dafür eingebunden?
Vielleicht hilft es. Wenn nicht, dann leider nicht.
Du könntest mal schauen, ob die Benutzer korrekt aufgelöst werden. Leider weiß ich nicht, ob das für Kerberos wie für LDAP gilt.
Code: Alles auswählen
getent passwd
getent shadow
getent group
Hast du Kerberos korrekt dafür eingebunden?
Vielleicht hilft es. Wenn nicht, dann leider nicht.
-
- Beiträge: 497
- Registriert: 08.08.2015 15:03:09
- Wohnort: Schweiz Zürich
Re: SSH Login über Kerberos
Das Problem besteht in der Tat nur mit meinem Benutzer. Alle anderen Benutzer können sich nun über kerberos per SSH einloggen und bekommen ein Ticket ausgehändigt. Ich probiere nacher nochmal die Datenbank und meinen Benutzer neu anzulegen und schau ob ich weiter komme.uname hat geschrieben:12.05.2020 08:37:49Leider habe ich keine Ahnung. Aber vor Jahren habe ich mal mich mal mit LDAP und Benutzeranmeldung beschäftigt.
Du könntest mal schauen, ob die Benutzer korrekt aufgelöst werden. Leider weiß ich nicht, ob das für Kerberos wie für LDAP gilt.
Gibt es einen Unterschied zwischen den alten und dem neu angelegten Benutzer?Code: Alles auswählen
getent passwd getent shadow getent group
Hast du Kerberos korrekt dafür eingebunden?
Vielleicht hilft es. Wenn nicht, dann leider nicht.
Ein weiterer Punkt wäre jetzt im Grunde die Authentifizierung für Dienste, die auf anderen Servern liegen.
Ich habe hierfür einen principal erzeugt, im Stile von :
addprinc -randkey host/server.example.com
Hierbei habe ich natürlich den DNS Namen angepasst und das host gelassen.
Nach meinem Verständnis müsste es jetzt doch möglich sein, sich auf den anderen Server einzuloggen. Oder muss ich auf dem anderen Server noch die Kerberos Client Packages installieren?
Bis dann!