[gelöst]SSH Login über Kerberos

[Trollkirsche]

Hallo zusammen,

Zurzeit arbeite ich daran, ein Kerberos System aufzubauen, dass im Anschluss als zentrale Anlaufstelle für das AD dient.

Ich habe Kerberos Server installiert und konfiguriert. Wenn ich mich als einen User per kinit auf dem Server selbst einlogge, erhalte ich ein Ticket, funktioniert also alles soweit.

Wenn ich mich jedoch über SSH auf den Server verbinde und im Anschluss klist eingebe, so erhalte ich folgendes:
klist: Schlüsselbund persistent1001 des Anmeldedatenzwischenspeichers nicht gefunden

Warum erhalte ich diese Meldung und kann mir kein vergebenes Ticket anzeigen lassen?

Unter dem Abschnitt [realms] in der krb5.conf stehen zwei Einträge:

kdc =
admin_server =

Kann ich dort einfach den DNS Namen meines KDC Servers eingeben oder muss ich das kerberos. dort eintragen?

Danke,

[Trollkirsche]

Ok ich konnte mich mittlerweile mit einem neu angelegten Benutzer, dem ich kein Passwort in der /etc/passwd Datei erteilt habe, per SSH über Kerberos einloggen. Funktioniert also alles soweit.

Leider funktioniert das nur bei neu angelegten Benutzern. Bei den bereits existierenden erhalte ich folgende Meldung:
klist: Schlüsselbund persistent1001 des Anmeldedatenzwischenspeichers nicht gefunden

Was kann ich machen damit die bereits existierenden Benutzer, die zwischenzeitlich auch in Kerberos per kadmin.local angelegt wurden, erkannt werden?

[uname]

Leider habe ich keine Ahnung. Aber vor Jahren habe ich mal mich mal mit LDAP und Benutzeranmeldung beschäftigt.

Du könntest mal schauen, ob die Benutzer korrekt aufgelöst werden. Leider weiß ich nicht, ob das für Kerberos wie für LDAP gilt.

Code: Alles auswählen

getent passwd
getent shadow
getent group

Gibt es einen Unterschied zwischen den alten und dem neu angelegten Benutzer?
Hast du Kerberos korrekt dafür eingebunden?
Vielleicht hilft es. Wenn nicht, dann leider nicht.

[Trollkirsche]

Leider habe ich keine Ahnung. Aber vor Jahren habe ich mal mich mal mit LDAP und Benutzeranmeldung beschäftigt.

Du könntest mal schauen, ob die Benutzer korrekt aufgelöst werden. Leider weiß ich nicht, ob das für Kerberos wie für LDAP gilt.

Code: Alles auswählen

getent passwd
getent shadow
getent group

Gibt es einen Unterschied zwischen den alten und dem neu angelegten Benutzer?
Hast du Kerberos korrekt dafür eingebunden?
Vielleicht hilft es. Wenn nicht, dann leider nicht.

Das Problem besteht in der Tat nur mit meinem Benutzer. Alle anderen Benutzer können sich nun über kerberos per SSH einloggen und bekommen ein Ticket ausgehändigt. Ich probiere nacher nochmal die Datenbank und meinen Benutzer neu anzulegen und schau ob ich weiter komme.

Ein weiterer Punkt wäre jetzt im Grunde die Authentifizierung für Dienste, die auf anderen Servern liegen.

Ich habe hierfür einen principal erzeugt, im Stile von :
addprinc -randkey host/server.example.com

Hierbei habe ich natürlich den DNS Namen angepasst und das host gelassen.

Nach meinem Verständnis müsste es jetzt doch möglich sein, sich auf den anderen Server einzuloggen. Oder muss ich auf dem anderen Server noch die Kerberos Client Packages installieren?

Bis dann!