Kirjoittaja Aihe: Kerberos ja SSH ilman salasanaa  (Luettu 2420 kertaa)

manttila

  • Käyttäjä
  • Viestejä: 58
    • Profiili
Kerberos ja SSH ilman salasanaa
« : 01.02.16 - klo:21.45 »
Hei,

Tavoitteenani on "Single-Sign-On" eli kun kirjaudun työasemalleni ei salasanaa tarvitse enää syöttää esim. palvelimen SSH-yhteyttä varten.
Palvelimelle on asennettu Kerberos, johon on luotu käyttäjä-principal (sama kuin lokaali käyttäjätunnukseni kimmassakin koneessa) sekä host/palvelin -principal ja tälle keytab krb5.keytab, joka on /etc -hakemistossa.
sshd-config -tiedostossa on sallittu GSSAPI:
Koodia: [Valitse]
# GSSAPI options
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
Client-koneella on asennettuna krb5-user ja pystyn luomaan tiketin kinit-komennolla. Tiketti näkyy klist-komennolla.
KUITENKIN, kun yritän kirjautua ssh:lla palvelimelle se kysyy salasanaa?
Mitään virheilmoituksia ei tule.
Olenko ymmärtänyt jotain väärin ? Pitäisikö tämän toimia näillä asetuksilla salasanattomasti ?
Jatkossa haluaisin myös luoda tiketin automaattisesti kun kirjaudun koneelleni. En ole oikein löytänyt siihen hyviä ohjeita (käytössä Kubuntu 12.04).
Neuvoja neuvottomalle ?

manttila

  • Käyttäjä
  • Viestejä: 58
    • Profiili
Vs: Kerberos ja SSH ilman salasanaa
« Vastaus #1 : 01.02.16 - klo:22.12 »
Hiukan lisää debug-infoa. Löysin ssh-komennosta -v vivun:

Koodia: [Valitse]
/etc/ssh$ ssh -vv palvelin4.verkko.oma

debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
debug1: Next authentication method: gssapi-keyex
debug1: No valid Key exchange context
debug2: we did not send a packet, disable method
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure.  Minor code may provide more information
Server host/palvelin4@VERKKO.OMA not found in Kerberos database

debug1: Unspecified GSS failure.  Minor code may provide more information
Server host/palvelin4@VERKKO.OMA not found in Kerberos database


Kuitenkin, jos palvelimen puolella listaan principalit, niin löytyy:
Koodia: [Valitse]
kadmin:  listprincs
K/M@VERKKO.OMA
host/palvelin4.verkko.oma@VERKKO.OMA
huolto/admin@VERKKO.OMA
kadmin/admin@VERKKO.OMA
kadmin/changepw@VERKKO.OMA
kadmin/palvelin4.verkko.oma@VERKKO.OMA
krbtgt/VERKKO.OMA@VERKKO.OMA
mika@VERKKO.OMA

Huomioni kiinnittyi siihen, että ssh etsii principalia palvelin4@VERKKO.OMA, vaikka kutsussa on koko FQDN. Tätä ei löydy ja päädytään salasanatunnistukseen. Ohjeen mukaan principalia luotaessa, piti käyttää palvelimen koko osoitetta (palvelin4.verkko.oma). Keytab-tiedosto on PALVELIMEN /etc -hakemistossa. Pitäisikö sen olla clientissa ??


// Mika