Kerberos a SSO: služby - SSH (diskuse)

Přihlášení | Registrace

napište » Zprávičky

24.5. 22:45 | IT novinky

NASA, která společně s Rackspace stála u zrodu projektu OpenStack, se již nadále nebude podílet na dalším vývoji této "infrastructure-as-a-service" platformy. V NASA totiž došli k závěru, že vzhledem k podpoře OpenStacku ze strany společností jako Red Hat, AT&T a HP lze jejich práci považovat za dokončenou. Posléze se NASA plánuje stáhnout i z vývoje další platformy pro cloud computing jménem Nebula.

Migilenik | Komentářů: 0

Kniha IPv6 se slevou 66 procent pouze na IPv6 Day

24.5. 22:45 | Upozornění

Blíží se svátek IPv6 a s ním i konference IPv6 Day. Na návštěvníky této akce čeká nejen bohatý program, ale také jedna speciální nabídka – v průběhu setkání bude možné získat se slevou 66 procent třetí vydání knihy IPv6 vysokoškolského pedagoga a publicisty Pavla Satrapy, tedy za 105 korun. … více »

Vilem Sladek | Komentářů: 4

Python/Django sprint v Praze 5. 6.

24.5. 16:14 | Pozvánky

Přijďte si zasprintovat na Djangu, jiném Python open-source projektu, nebo jen potkat ostatní vývojáře!

… více »

Whit | Komentářů: 0

Mageia 2

24.5. 10:20 | Nová verze

Na zrcadlech a torrentech jsou již k dispozici ISO obrazy distribuce Mageia 2. Poznámky k vydání čtěte zde.

Liborek | Komentářů: 14

Oznámen termín nové konference LinuxDays spolu s konferencí openSUSE a Gentoo

23.5. 13:47 | Pozvánky

Letos v říjnu se v Praze uskuteční hned několik konferencí. Odehraje se zde nově vzniklá konference LinuxDays. K ní se přidá čtvrtý ročník openSUSE Conference, dvanáctý ročník SUSE Labs conference a aby to nebylo málo, přidá se i první ročník Gentoo miniconf. A to vše ve stejné dny a na stejném místě.

… více »

Miška | Komentářů: 7

printerd - tiskový démon nad D-Busem

23.5. 13:27 | Zajímavý projekt

Printerd je název nového projektu tiskového démona, který bude využívat PolicyKit a D-Bus. Projekt je zatím na úplném začátku, takže nejde o nic vhodného k produkčnímu nasazení. Mimo jiné aktuálně akceptuje jako vstup jen PDF dokumenty.

Luboš Doležel (Doli) | Komentářů: 56

Red Hat přijal trojici vývojářů JRuby

23.5. 13:25 | Zajímavý software

Tři vývojáři ze společnosti Engine Yard přecházejí po dohodě mezi firmami do Red Hatu. Jde o vývojáře zabývající se rozvojem projektu JRuby. To ukazuje, že Red Hat má zájem o podporu alternativních jazyků nad OpenJDK.

Luboš Doležel (Doli) | Komentářů: 1

libusbx, fork libusb, se dostane do Fedory

23.5. 13:20 | Zajímavý software

Fedora přejde na knihovnu libusbx, což je fork původní knihovny libusb. Důvodem pro fork byl zjevný nedostatek času nebo zájmu ze strany správce projektu. libusbx už teď nabízí užitečné funkce navrch.

Luboš Doležel (Doli) | Komentářů: 4

LLVM 3.1

23.5. 10:29 | Nová verze

Vyšlo LLVM 3.1. Vylepšení se dotýkají podpory C++ 11 nebo architektur ARM a MIPS. Dále se můžete těšit z Python bindings nebo nástroje AddressSanitizer pro detekci chyb při práci s pamětí.

Luboš Doležel (Doli) | Komentářů: 0

ownCloud 4

23.5. 00:01 | Nová verze

Vyšla nová verze open source služby pro sdílení a synchronizaci souborů ownCloud 4. Mezi hlavní novinky patří verzování, šifrování dat, vestavěný prohlížeč ODF souborů, nové API a další - podrobnější popis novinek a vylepšení zde.

Dirka | Komentářů: 1

Centrum | Napsat | Starší

navrhněte » Anketa

Pokud by se prohlížeč Opera stal svobodným:

Začal(a) bych ji používat (9%)

Stále bych ji používal(a) (32%)

Přestal(a) bych ji používat (1%)

Ani tak bych ji nepoužíval(a) (58%)

Celkem 247 hlasů

Komentářů: 31, poslední včera 22:38

Pracovní nabídky

Rozcestník

AbcLinuxu

HDmag.cz

Reklama

Autoškola testy online Levný benzín

AbcLinuxu:/ Články / Kerberos a SSO: služby - SSH / Kerberos a SSO: služby - SSH (diskuse)

Štítky: není přiřazen žádný štítek

Nástroje: Začni sledovat (2) ?

Vložit další komentář

29.5.2008 10:32 Ondar | skóre: 25 | blog: Linux_blog
Rozbalit Rozbalit vše GSSAPI / SASL

Odpovědět | Sbalit | Link | Blokovat | Admin

Mno nevim, vždycky jsem si myslel, že GSSAPI je podmnožinou SASL. Respektive, pokud mluvíme o SASL s Kerberosem, tak je to GSSAPI. Více zde.

29.5.2008 16:46 Matlass
Rozbalit Rozbalit vše Re: GSSAPI / SASL

Nikoli. "GSS-API" a SASL mechanism" není rovnítko. GSS-API je standardizované programátorské rozhraní, které zapouzdřuje bezpečnostní mechanismy (jako např zde používaný krb5 protokol - krb5 mechanism byl standardizován v RFC 1964, které je nahrazeno vámi odkazovaným RFC 4752). Je to sada funkcí, které poskytují přístup k bezpečnostním výkonným mechanismům. Programátor se nemusí starat o to, jak se tvoří kontext pro kerberos5, nebo pro jiný mechanismus. Pouze zavolá funkci stvorit_bezpecnostni_kontext(krb5) a api se postará o zbytek.

GSS-API je popsáno vRFC 2743 RFC 4752, který odkazujete je pouze mechanismem (tedy jakýmsi modulem).

Jiné mechanismy jsou např pro použití X.509 certifikátů...atd.

29.5.2008 17:41 Ondar | skóre: 25 | blog: Linux_blog
Rozbalit Rozbalit vše Re: GSSAPI / SASL

Aha, takže pokud (jako programátor) chci použit zabezpečené připojení pomocí SASL/Kerberos, tak použiji rozhraní GSSAPI (pokud tomu dobře rozumím).

29.5.2008 16:27 bonci
Rozbalit Rozbalit vše Re: Kerberos a SSO: služby - SSH

Odpovědět | Sbalit | Link | Blokovat | Admin

Dobry den,

Postupoval som podla clanku, ale prihlasenie konci s chybou (Unspecified GSS failure. Minor code may provide more information Server not found in Kerberos database) a pokracuje standardnym loginom. Ako keby nevedel najst principal, db. Neviete kde by mohol byt problem? Musim spomenut, ze to skusam na jednom test PC, ktore sluzi ako server a klient naraz. Prijam aj vystup zo ssh. D.

[root@XXX ~]# ssh -l frantisek_hnipirdo XXX
frantisek_hnipirdo@XXX's password: 
Creating directory '/home/frantisek_hnipirdo'.
Last login: Thu May 29 16:10:57 2008 from XXX.XX.XX
/usr/bin/xauth:  creating new authority file /home/frantisek_hnipirdo/.Xauthority
[frantisek_hnipirdo@XXX ~]$ klist -f
Ticket cache: FILE:/tmp/krb5cc_10001_VDrwmE
Default principal: frantisek_hnipirdo@XX.XX

Valid starting     Expires            Service principal
05/29/08 16:24:50  05/30/08 02:24:50  krbtgt/XX.XX@XX.XX
        renew until 05/30/08 02:24:50, Flags: FRI


Kerberos 4 ticket cache: /tmp/tkt10001
klist: You have no tickets cached
[frantisek_hnipirdo@XXX ~]$ ssh -v XXX
OpenSSH_4.3p2, OpenSSL 0.9.8b 04 May 2006
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to labcentos [10.1.1.10] port 22.
debug1: Connection established.
debug1: identity file /home/frantisek_hnipirdo/.ssh/identity type -1
debug1: identity file /home/frantisek_hnipirdo/.ssh/id_rsa type -1
debug1: identity file /home/frantisek_hnipirdo/.ssh/id_dsa type -1
debug1: loaded 3 keys
debug1: Remote protocol version 2.0, remote software version OpenSSH_4.3
debug1: match: OpenSSH_4.3 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.3
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
Warning: Permanently added 'XXX,10.1.1.10' (RSA) to the list of known hosts.
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,gssapi-with-mic,password
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure.  Minor code may provide more information
Server not found in Kerberos database

debug1: Unspecified GSS failure.  Minor code may provide more information
Server not found in Kerberos database

debug1: Unspecified GSS failure.  Minor code may provide more information
Server not found in Kerberos database

debug1: Next authentication method: publickey
debug1: Trying private key: /home/frantisek_hnipirdo/.ssh/identity
debug1: Trying private key: /home/frantisek_hnipirdo/.ssh/id_rsa
debug1: Trying private key: /home/frantisek_hnipirdo/.ssh/id_dsa
debug1: Next authentication method: password
frantisek_hnipirdo@XXX's password:

29.5.2008 17:06 Matlas
Rozbalit Rozbalit vše Re: Kerberos a SSO: služby - SSH

Problém je, že se snažíte připojit k serveru se jménem pro které neexistuje pricipal v KDC databázi. říká to tato hláška:

debug1: Unspecified GSS failure.  Minor code may provide more information
Server not found in Kerberos database

máte pro server založený pricipal? Máte na serveru keytab?

Připojujete se k serveru se jménem stejným jako zní principal?

příklad:

matlas@stanice $ ssh mujserver.domena.cz

v tomto případě je principal serveru host/mujserver.domena.cz@NEJAKY.REALM

pokud se chcete připojit k serveru pouze ssh mujserver musíte mít zajištěno, že mujserver se převede na FQDN. jinak se snažíte získat service ticket pro principal host/mujserver@NEJAKY.REALM a to je špatně.

Podívejte se do logu KDC. tam uvidíte jaký principal se snažíte kontaktovat.

29.5.2008 17:26 bonci
Rozbalit Rozbalit vše Re: Kerberos a SSO: služby - SSH

Dik za tip, uplne som zabudol na KDC log. Problem bol v tom, ze v /etc/hosts mam server velkym + malym pismenom tak pri prevode na principal ho konvertoval na male pismena.

Po pridani principalu len s lowercase to uz ide.

Este raz vdaka.

1.6.2008 01:35 Honza Jaroš | skóre: 4 | Bohnice
Rozbalit Rozbalit vše Re: Kerberos a SSO: služby - SSH

Odpovědět | Sbalit | Link | Blokovat | Admin

Už jsem se chtěl zeptat u minulého dílu, ale nakonec jsem se k tomu nedostal, takže se poptám tady: jde nějak nastavit systém tak, aby bylo možné se pomocí sdílených účtů přihlašovat i v offline režimu (třeba na notebooku když zrovna není na síti)? A pokud ano, plánuje se zmínka na toto téma v některém z příštích dílů?

1.6.2008 02:31 Mudrc | skóre: 24 | Plzeň
Rozbalit Rozbalit vše Re: Kerberos a SSO: služby - SSH

Ano