Heimdal und Suse Linux 9
Hat jemand eine sinnvolle Doku, wie man ein Heimdal Kerberos 5 auf Suse Linux 9 in Betrieb nimmt? Ja, ich habe die lokale Doku gelesen. Mich interessieren jetzt so Dinge wie "Welche Principals muß ich erzeugen?", "Wie bau ich das mit openssh zusammen?" und "Kriege ich damit RPC- und NFS-Security hin?". Kristian
Am Montag, 29. Dezember 2003 17:30 schrieb Kristian Köhntopp:
Hat jemand eine sinnvolle Doku, wie man ein Heimdal Kerberos 5 auf Suse Linux 9 in Betrieb nimmt?
Ja, ich habe die lokale Doku gelesen. Mich interessieren jetzt so Dinge wie "Welche Principals muß ich erzeugen?", "Wie bau ich das mit openssh zusammen?" und "Kriege ich damit RPC- und NFS-Security hin?".
Was meinst Du mit "lokale Doku"? Im Handbuch ist es doch recht nett beschrieben, zumindest bis ssh. Hast Du das gelesen? -- Andreas
Hallo,
Kristian Köhntopp
Hat jemand eine sinnvolle Doku, wie man ein Heimdal Kerberos 5 auf Suse Linux 9 in Betrieb nimmt?
Ja, ich habe die lokale Doku gelesen. Mich interessieren jetzt so Dinge wie "Welche Principals muß ich erzeugen?", "Wie bau ich das mit openssh zusammen?" und "Kriege ich damit RPC- und NFS-Security hin?".
Es gibt keine weitere Doku zu Heimdal, außer info. Ich experimentiere hier auch mit heimdal, habe aber ein komplettes lokales Netzwerk mit MIT krb5 laufen. Zu deinen Fragen: 1. Principals - für alle User in der Form user@REALM - für alle Hosts in der Form host/fqdn@REALM, also z.B. host/marin.avci.de@AVCI.DE - für alle services in der Form service/fqdn@REALM, also in der Form ldap/marin.l4b.de@AVCI.DE 2. OpenSSH in /etc/ssh/sshd_config den Eintrag für Kerberos oder GSSAPI deinen Vorstellungen entsprechend anpassen. bei mir steht z.B. 'KerberosOrLocalPassword yes' Das gleiche in ssh_config oder ~/.ssh/config 3. GSSAPI Wenn du Clients hast, die GSSAPI nutzen können, wie z.B. alle sasl clients, dann würde ich einen pricipal für den service ssh (oder ist es sshd?) einrichten und mit gssapi experimentieren. 4. RPC und NFS Security Heimdal bietet da m.w. noch nicht die notwendigen kerberosierten Clients wie z.B. MIT daher kann ich dazu wenig sagen, sollte aber prinzipiell mmöglich sein. Ich rate dir, in jedem Fall für das lokale Netzwerk auch SRV Records für named zu erstellen, du glaubst nicht, wieviele Applikationen diese suchen und erst bei einem Timeout weiterarbeiten. Die /etc/keytab sollte world readable sein, da viele Anwendungen als unprevilegierter User laufen und sonst gegebenenfalls nicht de hostkey lesen können. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
Hallo,
Dieter Kluenter
Hallo,
Kristian Köhntopp
writes: Hat jemand eine sinnvolle Doku, wie man ein Heimdal Kerberos 5 auf Suse Linux 9 in Betrieb nimmt?
Ja, ich habe die lokale Doku gelesen. Mich interessieren jetzt so Dinge wie "Welche Principals muß ich erzeugen?", "Wie bau ich das mit openssh zusammen?" und "Kriege ich damit RPC- und NFS-Security hin?". [...]
2. OpenSSH in /etc/ssh/sshd_config den Eintrag für Kerberos oder GSSAPI deinen Vorstellungen entsprechend anpassen. bei mir steht z.B. 'KerberosOrLocalPassword yes' Das gleiche in ssh_config oder ~/.ssh/config
Ich habe jetzt mal auf einem Host SuSE-9.0 installiert und openssh mit Kerberos konfiguriert (heimdal) . Hierzu fand ich im Netz eine Notiz, daß openssh-3.7. nur noch GSSAPI unterstützt, die URL kann ich leider nicht mehr finden :-( Seltsamerweise funktioniert das aber nur halb, d.h. es wird ein TGS vom Host ausgestellt, anschließend muß aber noch das Paßwort zusätzlich eingegeben werden. ssh -vvv zeigt auch warum, nämlich debug1: Next authentication method: gssapi debug2: we sent a gssapi packet, wait for replay debug1: Delegating credentials ... debug2: we did not sent a packet, disable method debug1: Next authentication method: password ... Das ganze funktioniert aber mit MIT Krb5 ohne große Probleme, ich werde mal weiter forschen :-) -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
Am Montag, 29. Dezember 2003 23:33 schrieb Dieter Kluenter:
Ich habe jetzt mal auf einem Host SuSE-9.0 installiert und openssh mit Kerberos konfiguriert (heimdal) . Hierzu fand ich im Netz eine Notiz, daß openssh-3.7. nur noch GSSAPI unterstützt, die URL kann ich leider nicht mehr finden :-(
Das steht so ähnlich im Suse-Handbuch zur 9.0.
Seltsamerweise funktioniert das aber nur halb, d.h. es wird ein TGS vom Host ausgestellt, anschließend muß aber noch das Paßwort zusätzlich eingegeben werden. ssh -vvv zeigt auch warum, nämlich
debug1: Next authentication method: gssapi debug2: we sent a gssapi packet, wait for replay debug1: Delegating credentials ... debug2: we did not sent a packet, disable method debug1: Next authentication method: password ...
Das ganze funktioniert aber mit MIT Krb5 ohne große Probleme, ich werde mal weiter forschen :-)
Habe vor ein paar Tagen angefangen heimdal (Suse 9.0) einzurichten und hatte es gestern auch bis zum erbrechen versucht ssh zum laufen zu bewegen. Habe aber immer so ähnliche Fehler wie oben bekommen. Heute nach einem Neustart lief es einwandfrei. Langsam entdecke ich gewisse Parallelen zu Windows. debug1: Next authentication method: gssapi debug2: we sent a gssapi packet, wait for reply debug1: Delegating credentials debug1: Delegating credentials debug1: Authentication succeeded (gssapi). debug1: channel 0: new [client-session] debug3: ssh_session2_open: channel_new: 0 debug2: channel 0: send open debug1: Entering interactive session. debug2: callback start debug2: ssh_session2_setup: id 0 debug2: channel 0: request pty-req [...] -- Andreas
Hallo,
Andreas Winkelmann
Am Montag, 29. Dezember 2003 23:33 schrieb Dieter Kluenter:
Das steht so ähnlich im Suse-Handbuch zur 9.0.
Auf welcher Seite, habe ich noch nicht gefunden :-(
Habe vor ein paar Tagen angefangen heimdal (Suse 9.0) einzurichten und hatte es gestern auch bis zum erbrechen versucht ssh zum laufen zu bewegen. Habe aber immer so ähnliche Fehler wie oben bekommen. Heute nach einem Neustart lief es einwandfrei. Langsam entdecke ich gewisse Parallelen zu Windows.
debug1: Next authentication method: gssapi debug2: we sent a gssapi packet, wait for reply debug1: Delegating credentials debug1: Delegating credentials debug1: Authentication succeeded (gssapi). debug1: channel 0: new [client-session] debug3: ssh_session2_open: channel_new: 0 debug2: channel 0: send open debug1: Entering interactive session. debug2: callback start debug2: ssh_session2_setup: id 0 debug2: channel 0: request pty-req
Hast du irgendetwas verändert? Bei mir funktioniert es noch nicht. Hier muß ich aber einmal (ausnahmsweise) eine Lanze für Windows brechen. Die Kerberos und LDAP Implementierung in W2K Server und Windows 2003 Server ist voll kompatibel und kann mit den nativen MIT Und OpenLDAP Clients genutzt werden. Auch putty kann mit ssh und gssapi eine Authentifizierung von W2K Server bekommen. Selbst Ldapclients, wie z.B. ldapsearch können sich mit dem SASL-Mechanismus GSSAPI an W2K Server authentifizieren. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
Am Dienstag, 30. Dezember 2003 22:37 schrieb Dieter Kluenter:
Das steht so ähnlich im Suse-Handbuch zur 9.0.
Auf welcher Seite, habe ich noch nicht gefunden :-(
Seite 539 unten bei der SSH-Konfiguration.
Habe vor ein paar Tagen angefangen heimdal (Suse 9.0) einzurichten und hatte es gestern auch bis zum erbrechen versucht ssh zum laufen zu bewegen. Habe aber immer so ähnliche Fehler wie oben bekommen. Heute nach einem Neustart lief es einwandfrei. Langsam entdecke ich gewisse Parallelen zu Windows.
debug1: Next authentication method: gssapi debug2: we sent a gssapi packet, wait for reply debug1: Delegating credentials debug1: Delegating credentials debug1: Authentication succeeded (gssapi). debug1: channel 0: new [client-session] debug3: ssh_session2_open: channel_new: 0 debug2: channel 0: send open debug1: Entering interactive session. debug2: callback start debug2: ssh_session2_setup: id 0 debug2: channel 0: request pty-req
Hast du irgendetwas verändert? Bei mir funktioniert es noch nicht.
Hmm, also zu testzwecken starte den sshd mit -ddd # sshd -ddd Dann mit kinit das Ticket erstellen und mit ssh eine Verbindung versuchen aufzubauen. $ kinit andi $ ssh -vvv lokaler-rechnername Gestern abend hat der sshd gesagt er würde den Prinzipial nicht in der krb5.keytab finden. War aber 100% drin und auch mit strace sah man nur, dass er die Datei auch wirklich durchsucht hat. Dann heute mal einen neustart und einfach nochmal probiert, klappte einwandfrei. Habe auf dem Test-Rechner noch keinen dns konfiguriert, läuft alles über /etc/hosts.
Hier muß ich aber einmal (ausnahmsweise) eine Lanze für Windows brechen. Die Kerberos und LDAP Implementierung in W2K Server und Windows 2003 Server ist voll kompatibel und kann mit den nativen MIT Und OpenLDAP Clients genutzt werden. Auch putty kann mit ssh und gssapi eine Authentifizierung von W2K Server bekommen. Selbst Ldapclients, wie z.B. ldapsearch können sich mit dem SASL-Mechanismus GSSAPI an W2K Server authentifizieren.
Welche Kerberos-Version nutzt Windows 4 oder 5? -- Andreas
Hallo,
Andreas Winkelmann
Am Dienstag, 30. Dezember 2003 22:37 schrieb Dieter Kluenter:
Das steht so ähnlich im Suse-Handbuch zur 9.0.
Auf welcher Seite, habe ich noch nicht gefunden :-(
Seite 539 unten bei der SSH-Konfiguration. [...]
Hast du irgendetwas verändert? Bei mir funktioniert es noch nicht.
Hmm, also zu testzwecken starte den sshd mit -ddd
# sshd -ddd
Dann mit kinit das Ticket erstellen und mit ssh eine Verbindung versuchen aufzubauen.
$ kinit andi $ ssh -vvv lokaler-rechnername
Aah, mit eigenem Loginnamen auf einem fremden Rechner, ja das geht bei mir auch, schrieb ich ja auch, daß klist ein Hostticket anzeigt, ich möchte mich aber bei einem anderen User einloggen und das funktioniert nicht, also z.B. ssh dieter@host.domain funktioniert, aber ssh franz@host.domain funktioniert nicht, obwohl die Datei ~/.k5login erstellt und dort die Zugangsbrechtigung für meinen Principal festgelegt wurde. [...]
Hier muß ich aber einmal (ausnahmsweise) eine Lanze für Windows brechen. Die Kerberos und LDAP Implementierung in W2K Server und Windows 2003 Server ist voll kompatibel und kann mit den nativen MIT Und OpenLDAP Clients genutzt werden. Auch putty kann mit ssh und gssapi eine Authentifizierung von W2K Server bekommen. Selbst Ldapclients, wie z.B. ldapsearch können sich mit dem SASL-Mechanismus GSSAPI an W2K Server authentifizieren.
Welche Kerberos-Version nutzt Windows 4 oder 5?
Windows nutzt MIT-Krb5, in der Release-Version 1.1. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
participants (3)
-
Andreas Winkelmann
-
Dieter Kluenter
-
Kristian Köhntopp