Archive:Metacore/Login

aus Metalab, dem offenen Zentrum für meta-disziplinäre Magier und technisch-kreative Enthusiasten.
< Archive:Metacore
Version vom 8. November 2006, 18:23 Uhr von Philip (Diskussion | Beiträge)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

Um sich in den verschiedenen Metacore Diensten einzuloggen, bedarf es zumeist des Kerberos Benutzers. Wie funktioniert das?

Einmal:

  • Kerberos lokal einrichten
  • Kerberos-fähigen Client "kerberizen" (z.b. ssh, firefox, ...) - braucht nur einmal gemacht werden

Jede Session:

  • Kerberos Ticket einmal holen
  • Den jeweiligen dienst benutzen - benötigt kein Passwort mehr

Kerberisieren

Um einen Dienst mit Kerberos benutzen zu können, muss man ihn erst "kerberizen". Wie das funktioniert ist je nach Client unterschiedlich.

SSH

Im Normalfall braucht man den Server nicht kerberisen, da die Metacore Rechner alle bereits kerberised sind. Allerdings, der Vollständigkeit halber:

in sshd_config:

KerberosAuthentication yes
KerberosOrLocalPasswd yes
KerberosTicketCleanup yes
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes

Um den lokalen ssh client zu sagen, dass man gerne seine Kerberos tickets verwenden möchte um wo remote einzuloggen

in ssh_config:

GSSAPIAuthentication yes
GSSAPIDelegateCredentials yes

Firefox

Der Firefox kann lokale Kerberos tickets forwarden um ein kerberized webservice zu authentifizieren. Der Vorteil: der geschützte Server bekommt Benutzername/Passwort nicht, sondern nur das Ticket.

Das funktioniert bereits mit https://admin.in.metalab.at/provisioning sowie https://plob.metalab.at/wp-login.php, andere Anwendungen werden bestimmt folgen ;)

in der URL Zeile eingeben:

about:config

dann nach den folgenden Einträgen suchen und die Werte ändern:

network.negotiate-auth.delegation-uris = https://
network.negotiate-auth.trusted-uris = https://

unter windows brauchts noch zwei Einträge:

network.auth.use-sspi = false
network.negotiate-auth.using-native-gsslib = false

dann einfach mal auf https://admin.in.metalab.at/provisioning gehen und schauen obs funktioniert. Wenn nicht, mit "klist" in der Kommandozeile überprüfen ob man überhaupt ein Ticket hat, und wenn nicht "kinit <Benutzername>" eingeben. Das funktioniert mit MIT Kerberos in /allen/ Betriebssystemen.