Archive:Metacore/Login: Unterschied zwischen den Versionen
Philip (Diskussion | Beiträge) |
K (verschob „Metacore/Login“ nach „Archive:Metacore/Login“: kategorie archiv auflösen, nur namespace verwenden) |
||
(4 dazwischenliegende Versionen von einem anderen Benutzer werden nicht angezeigt) | |||
Zeile 12: | Zeile 12: | ||
Um einen Dienst mit Kerberos benutzen zu können, muss man ihn erst "kerberizen". Wie das funktioniert ist je nach Client unterschiedlich. | Um einen Dienst mit Kerberos benutzen zu können, muss man ihn erst "kerberizen". Wie das funktioniert ist je nach Client unterschiedlich. | ||
+ | |||
+ | Anmerkung: Auf den Metacore Workstations ist das schon so eingerichtet. | ||
===SSH=== | ===SSH=== | ||
Zeile 50: | Zeile 52: | ||
network.negotiate-auth.using-native-gsslib = false | network.negotiate-auth.using-native-gsslib = false | ||
− | dann einfach mal auf https://admin.in.metalab.at/provisioning gehen und schauen obs funktioniert. Wenn nicht, mit | + | dann einfach mal auf https://admin.in.metalab.at/provisioning gehen und schauen obs funktioniert. Wenn nicht, mit |
+ | |||
+ | $ klist | ||
+ | |||
+ | in der Kommandozeile überprüfen ob man überhaupt ein Ticket hat, und wenn nicht | ||
+ | |||
+ | $ kinit <Benutzername> | ||
+ | |||
+ | eingeben. Das funktioniert mit MIT Kerberos in /allen/ Betriebssystemen. | ||
+ | |||
+ | ===Safari=== | ||
+ | |||
+ | Ist - laut [[Benutzer:Kewagi|Kewagi]] - standardmässig kerberized. kinit/klist benutzen wie bei Firefox angegeben. |
Aktuelle Version vom 8. Mai 2013, 06:52 Uhr
Um sich in den verschiedenen Metacore Diensten einzuloggen, bedarf es zumeist des Kerberos Benutzers. Wie funktioniert das?
Einmal:
- Kerberos lokal einrichten
- Kerberos-fähigen Client "kerberizen" (z.b. ssh, firefox, ...) - braucht nur einmal gemacht werden
Jede Session:
- Kerberos Ticket einmal holen
- Den jeweiligen dienst benutzen - benötigt kein Passwort mehr
Kerberisieren
Um einen Dienst mit Kerberos benutzen zu können, muss man ihn erst "kerberizen". Wie das funktioniert ist je nach Client unterschiedlich.
Anmerkung: Auf den Metacore Workstations ist das schon so eingerichtet.
SSH
Im Normalfall braucht man den Server nicht kerberisen, da die Metacore Rechner alle bereits kerberised sind. Allerdings, der Vollständigkeit halber:
in sshd_config:
KerberosAuthentication yes KerberosOrLocalPasswd yes KerberosTicketCleanup yes GSSAPIAuthentication yes GSSAPICleanupCredentials yes
Um den lokalen ssh client zu sagen, dass man gerne seine Kerberos tickets verwenden möchte um wo remote einzuloggen
in ssh_config:
GSSAPIAuthentication yes GSSAPIDelegateCredentials yes
Firefox
Der Firefox kann lokale Kerberos tickets forwarden um ein kerberized webservice zu authentifizieren. Der Vorteil: der geschützte Server bekommt Benutzername/Passwort nicht, sondern nur das Ticket.
Das funktioniert bereits mit https://admin.in.metalab.at/provisioning sowie https://plob.metalab.at/wp-login.php, andere Anwendungen werden bestimmt folgen ;)
in der URL Zeile eingeben:
about:config
dann nach den folgenden Einträgen suchen und die Werte ändern:
network.negotiate-auth.delegation-uris = https:// network.negotiate-auth.trusted-uris = https://
unter windows brauchts noch zwei Einträge:
network.auth.use-sspi = false network.negotiate-auth.using-native-gsslib = false
dann einfach mal auf https://admin.in.metalab.at/provisioning gehen und schauen obs funktioniert. Wenn nicht, mit
$ klist
in der Kommandozeile überprüfen ob man überhaupt ein Ticket hat, und wenn nicht
$ kinit <Benutzername>
eingeben. Das funktioniert mit MIT Kerberos in /allen/ Betriebssystemen.
Safari
Ist - laut Kewagi - standardmässig kerberized. kinit/klist benutzen wie bei Firefox angegeben.