Archive:Metacore/Login: Unterschied zwischen den Versionen
Philip (Diskussion | Beiträge) |
Philip (Diskussion | Beiträge) K |
||
Zeile 12: | Zeile 12: | ||
Um einen Dienst mit Kerberos benutzen zu können, muss man ihn erst "kerberizen". Wie das funktioniert ist je nach Client unterschiedlich. | Um einen Dienst mit Kerberos benutzen zu können, muss man ihn erst "kerberizen". Wie das funktioniert ist je nach Client unterschiedlich. | ||
+ | |||
+ | Anmerkung: Auf den Metacore Workstations ist das schon so eingerichtet. | ||
===SSH=== | ===SSH=== |
Version vom 8. November 2006, 16:27 Uhr
Um sich in den verschiedenen Metacore Diensten einzuloggen, bedarf es zumeist des Kerberos Benutzers. Wie funktioniert das?
Einmal:
- Kerberos lokal einrichten
- Kerberos-fähigen Client "kerberizen" (z.b. ssh, firefox, ...) - braucht nur einmal gemacht werden
Jede Session:
- Kerberos Ticket einmal holen
- Den jeweiligen dienst benutzen - benötigt kein Passwort mehr
Kerberisieren
Um einen Dienst mit Kerberos benutzen zu können, muss man ihn erst "kerberizen". Wie das funktioniert ist je nach Client unterschiedlich.
Anmerkung: Auf den Metacore Workstations ist das schon so eingerichtet.
SSH
Im Normalfall braucht man den Server nicht kerberisen, da die Metacore Rechner alle bereits kerberised sind. Allerdings, der Vollständigkeit halber:
in sshd_config:
KerberosAuthentication yes KerberosOrLocalPasswd yes KerberosTicketCleanup yes GSSAPIAuthentication yes GSSAPICleanupCredentials yes
Um den lokalen ssh client zu sagen, dass man gerne seine Kerberos tickets verwenden möchte um wo remote einzuloggen
in ssh_config:
GSSAPIAuthentication yes GSSAPIDelegateCredentials yes
Firefox
Der Firefox kann lokale Kerberos tickets forwarden um ein kerberized webservice zu authentifizieren. Der Vorteil: der geschützte Server bekommt Benutzername/Passwort nicht, sondern nur das Ticket.
Das funktioniert bereits mit https://admin.in.metalab.at/provisioning sowie https://plob.metalab.at/wp-login.php, andere Anwendungen werden bestimmt folgen ;)
in der URL Zeile eingeben:
about:config
dann nach den folgenden Einträgen suchen und die Werte ändern:
network.negotiate-auth.delegation-uris = https:// network.negotiate-auth.trusted-uris = https://
unter windows brauchts noch zwei Einträge:
network.auth.use-sspi = false network.negotiate-auth.using-native-gsslib = false
dann einfach mal auf https://admin.in.metalab.at/provisioning gehen und schauen obs funktioniert. Wenn nicht, mit "klist" in der Kommandozeile überprüfen ob man überhaupt ein Ticket hat, und wenn nicht "kinit <Benutzername>" eingeben. Das funktioniert mit MIT Kerberos in /allen/ Betriebssystemen.