Kerberos keytab

Ahoj zkuseni linuxaci, potrebuju poradit s generovanim keytab klice pro kerberos.

Mam win2003 server, ze ktereho chci overovat pomoci kerberu uzivatele a heslo.

Chtel jsem nakonfigurovat sshd na gssapi-with-mic(single-sign-on), ale nebere to a pise debug1: Unspecified GSS failure. Minor code may provide more information No credentials cache found

Takze usuzuji, ze /etc/krb5.keytab je udelan spatne a klice se v nem vubec nejsou

Napr kinit peta@LBTEST12.MOJEFIRMA.CZ funguje.

/etc/krb5.conf [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log

[libdefaults] default_realm = LBTEST12.MOJEFIRMA.CZ dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h forwardable = yes

[realms] LBTEST12.MOJEFIRMA.CZ = { kdc = sqtest.lbtest12.mojefirma.cz:88 admin_server = sqtest.lbtest12.mojefirma.cz:750 default_domain = lbtest12.mojefirma.cz }

[domain_realm] .lbtest12.mojefirma.cz = LBTEST12.MOJEFIRMA.CZ lbtest12.mojefirma.cz = LBTEST12.MOJEFIRMA.CZ

Mam ten keytab vynegerovat ve win2003 serveru a pak prenest do linuxu, nebo staci generovani nma linuxu???

na tom win by to mohlo byt ktpass -princ host/sqtest.lbtest12.mojefirma.cz@LBTEST12.MOJEFIRMA.CZ -mapuser sqtest -pass heslo -out krb5.keytab

???

pak staci uz jen generovat klice pro uzivatele a davat je tam, ze? --addprinc

Diky moc za rady!

Odpovědi

Sice přímo zkušenost se SSO v tomto prostředí v kombinaci s sshd nemám, ale realizoval jsem SSO authentizaci (kerberos) s proxy v prostředí s win2003 DC a win AD. Takže usuzuji, že by postup mohl být totožný.
Na DC je zapotřebí vygenerovat keytab služby (zde sshd) nástrojem ktpass a tento keytab navázat na již existující uživatelský účet v AD.

ktpass -princ SSHD/fqdn@DOMENA -mapuser "uzivatel" -pass "heslo" -ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT -out c:\temp\sshd.keytab

Následně tento keytab zkopírujte na stroj, kde běží sshd a jeho obsah naimportujte do souboru /etc/krb5.keytab
Dále bude zapotřebí udělat určité změny v konfiguraci sshd, aby mezi authentizačními mechanismy byl podporován kerberos, viz man sshd_config
Win2003 DC používá kerberos nativně, takže není zapotřebí ručně vytvářet principaly pro jednotlivé uživatele v AD.

Pokud pouzivas sambu s overovani z Active Directory, pak jednou z cest, jak si nechat /etc/krb5.keytab vygenerovat z Linuxu, je zapis pozadavku na generovani /etc/krb5.keytab ze samby. Odpovidajici [global] cast /etc/samba/smb.conf vypada napriklad takto

[global]
   realm = LBTEST12.MOJEFIRMA.CZ
   password server = alfa
   security = ADS                   #Active Directory
   use kerberos keytab = true       #Pouzij krb5.keytab
   encrypt passwords = yes
   workgroup = LBTEST12
   interfaces = 127.0.0.1 eth0
   bind interfaces only = true
   map to guest = Bad User
   username map = /etc/samba/smbusers
   passdb backend = smbpasswd
   server string = Samba Server
   domain master = false
   domain logons = no
   local master = no
   acl compatibility = Auto
   preferred master = no
   wins server = 10.0.88.80
   load printers = no
   idmap uid = 1000-55000
   idmap gid = 100-55000
   template shell = /bin/bash
   winbind cache time = 5
   winbind use default domain = Yes
   winbind trusted domains only = Yes
   winbind nested groups = Yes

Pote, co prihlasis pocitac do windows domeny prikazem net ads join -U Administrator, bude automaticky vygenerovan soubor /etc/krb5.keytab v podobe postacujici pro ssh.

Dotaz: Kerberos keytab

Odpovědi