Debian Server Kerberos SSO

Hallo zusammen,

ich habe gestern einen Debian Server wie in der Doku für Ubuntu Clients beschrieben mit der Domäne hinzugefügt. Verlief auch ohne größere Probleme. Ich kann mir mit kinit ein Ticket ausstellen lassen, Anmeldung mit Domain-Benutzer funktioniert und getent passwd und group liefert mir die gewünschten Informationen.

Jetzt würde ich mich bei der Anmeldung per SSH aber gern per Kerberos authentifizieren und hier scheitert es gerade… Die SSH Anmeldung von Client (Linux Mint) zum UCS DC per Kerberos funktioniert ohne Probleme, der Client scheint also korrekt eingerichtet.

Die Anmeldung am Debian Server per Kerberos funktioniert nicht, ich habe bisher aber auch nur in der sshd_config auf dem Server

GSSAPIAuthentication yes GSSAPICleanupCredentials yes

eingestellt und sshd sowie sssd neugestartet. Das allein reicht aber noch nicht nehme ich an, ich vermute es liegt an der fehlenden krb5.keytab auf dem Server da ssh die abfragt ist das richtig? In diesem Fall ist aber die Frage wie bekomme ich die dahin? Kann man die auf dem Server anlegen lassen oder muss man die vom DC kopieren?

Dankeschön schon mal.

Gruß,
Robert

Hallo,

die Keytab kann man nicht einfach von einem anderen System kopieren. Effektiv muß da ein Eintrag “host/fqdn@REALM” existieren und dafür muß man einen Serviceprinzipal auf dem KDC einrichten.
Beim Herumgoogeln bin ich gerade zu Native Kerberos Authentication with SSH gekommen. Die Informationen dort fand ich ganz nützlich.

Viele Grüße,
Dirk Ahrnke

Hi,

danke für die Antwort. Danke für den Link werde ich mir mal anschauen. Kann ich die keytab “remote” mit kadmin auf dem Debian Server anlegen oder muss ich das auf dem KDC machen und dann auf den Server kopieren?

Viele Grüße,
Robert

[quote=“xoxys”]Kann ich die keytab “remote” mit kadmin auf dem Debian Server anlegen oder muss ich das auf dem KDC machen und dann auf den Server kopieren?
[/quote]
Wenn ich mich recht erinnere, legt man auf dem KDC den Principal an, erzeugt dort den Keytab-Eintrag, kopiert den dann auf die Linux-Maschine und fügt ihn dort den evtl. schon bestehenden Einträgen (ktutil ?) hinzu.

Das scheint ja schon mal in die richtige Richtung zu gehen :slight_smile: Ich probiere mal, danke nochmal.

Hier kam noch der Hinweis (Danke, Michael), dass es ja auch einen SDB-Artikel zum Thema gibt:
Working with kerberos principals and keytabs.

1 Like

Euer Tip war Gold wert :slight_smile: Vielen herzlichen Dank mit dem SSDB-Artikel hats wunderbar funktioniert.

Hallo Leute,

ist das mit dem SSDB Artikel auch jetzt in 4.4 noch so gültig? Oder geht das schon konfortabler?

glg
Boospy

Mastodon