Archive:Metacore/Login: Unterschied zwischen den Versionen

aus Metalab Wiki, dem offenen Zentrum für meta-disziplinäre Magier und technisch-kreative Enthusiasten.
Zur Navigation springenZur Suche springen
 
K
Zeile 12: Zeile 12:
  
 
Um einen Dienst mit Kerberos benutzen zu können, muss man ihn erst "kerberizen". Wie das funktioniert ist je nach Client unterschiedlich.
 
Um einen Dienst mit Kerberos benutzen zu können, muss man ihn erst "kerberizen". Wie das funktioniert ist je nach Client unterschiedlich.
 +
 +
Anmerkung: Auf den Metacore Workstations ist das schon so eingerichtet.
  
 
===SSH===
 
===SSH===

Version vom 8. November 2006, 16:27 Uhr

Um sich in den verschiedenen Metacore Diensten einzuloggen, bedarf es zumeist des Kerberos Benutzers. Wie funktioniert das?

Einmal:

  • Kerberos lokal einrichten
  • Kerberos-fähigen Client "kerberizen" (z.b. ssh, firefox, ...) - braucht nur einmal gemacht werden

Jede Session:

  • Kerberos Ticket einmal holen
  • Den jeweiligen dienst benutzen - benötigt kein Passwort mehr

Kerberisieren

Um einen Dienst mit Kerberos benutzen zu können, muss man ihn erst "kerberizen". Wie das funktioniert ist je nach Client unterschiedlich.

Anmerkung: Auf den Metacore Workstations ist das schon so eingerichtet.

SSH

Im Normalfall braucht man den Server nicht kerberisen, da die Metacore Rechner alle bereits kerberised sind. Allerdings, der Vollständigkeit halber:

in sshd_config:

KerberosAuthentication yes
KerberosOrLocalPasswd yes
KerberosTicketCleanup yes
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes

Um den lokalen ssh client zu sagen, dass man gerne seine Kerberos tickets verwenden möchte um wo remote einzuloggen

in ssh_config:

GSSAPIAuthentication yes
GSSAPIDelegateCredentials yes

Firefox

Der Firefox kann lokale Kerberos tickets forwarden um ein kerberized webservice zu authentifizieren. Der Vorteil: der geschützte Server bekommt Benutzername/Passwort nicht, sondern nur das Ticket.

Das funktioniert bereits mit https://admin.in.metalab.at/provisioning sowie https://plob.metalab.at/wp-login.php, andere Anwendungen werden bestimmt folgen ;)

in der URL Zeile eingeben:

about:config

dann nach den folgenden Einträgen suchen und die Werte ändern:

network.negotiate-auth.delegation-uris = https://
network.negotiate-auth.trusted-uris = https://

unter windows brauchts noch zwei Einträge:

network.auth.use-sspi = false
network.negotiate-auth.using-native-gsslib = false

dann einfach mal auf https://admin.in.metalab.at/provisioning gehen und schauen obs funktioniert. Wenn nicht, mit "klist" in der Kommandozeile überprüfen ob man überhaupt ein Ticket hat, und wenn nicht "kinit <Benutzername>" eingeben. Das funktioniert mit MIT Kerberos in /allen/ Betriebssystemen.