Archive:Metacore/Login

aus Metalab Wiki, dem offenen Zentrum für meta-disziplinäre Magier und technisch-kreative Enthusiasten.
Zur Navigation springenZur Suche springen

Um sich in den verschiedenen Metacore Diensten einzuloggen, bedarf es zumeist des Kerberos Benutzers. Wie funktioniert das?

Einmal:

  • Kerberos lokal einrichten
  • Kerberos-fähigen Client "kerberizen" (z.b. ssh, firefox, ...) - braucht nur einmal gemacht werden

Jede Session:

  • Kerberos Ticket einmal holen
  • Den jeweiligen dienst benutzen - benötigt kein Passwort mehr

Kerberisieren

Um einen Dienst mit Kerberos benutzen zu können, muss man ihn erst "kerberizen". Wie das funktioniert ist je nach Client unterschiedlich.

Anmerkung: Auf den Metacore Workstations ist das schon so eingerichtet.

SSH

Im Normalfall braucht man den Server nicht kerberisen, da die Metacore Rechner alle bereits kerberised sind. Allerdings, der Vollständigkeit halber:

in sshd_config:

KerberosAuthentication yes
KerberosOrLocalPasswd yes
KerberosTicketCleanup yes
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes

Um den lokalen ssh client zu sagen, dass man gerne seine Kerberos tickets verwenden möchte um wo remote einzuloggen

in ssh_config:

GSSAPIAuthentication yes
GSSAPIDelegateCredentials yes

Firefox

Der Firefox kann lokale Kerberos tickets forwarden um ein kerberized webservice zu authentifizieren. Der Vorteil: der geschützte Server bekommt Benutzername/Passwort nicht, sondern nur das Ticket.

Das funktioniert bereits mit https://admin.in.metalab.at/provisioning sowie https://plob.metalab.at/wp-login.php, andere Anwendungen werden bestimmt folgen ;)

in der URL Zeile eingeben:

about:config

dann nach den folgenden Einträgen suchen und die Werte ändern:

network.negotiate-auth.delegation-uris = https://
network.negotiate-auth.trusted-uris = https://

unter windows brauchts noch zwei Einträge:

network.auth.use-sspi = false
network.negotiate-auth.using-native-gsslib = false

dann einfach mal auf https://admin.in.metalab.at/provisioning gehen und schauen obs funktioniert. Wenn nicht, mit

$ klist

in der Kommandozeile überprüfen ob man überhaupt ein Ticket hat, und wenn nicht

$ kinit <Benutzername>

eingeben. Das funktioniert mit MIT Kerberos in /allen/ Betriebssystemen.

Safari

Ist - laut Kewagi - standardmässig kerberized. kinit/klist benutzen wie bei Firefox angegeben.