Forum Debian Users Gang

Witam
Chcę postawić openldap z autoryzacją kerberosem. więc najpierw stawiam kerberosa nie potrafię na 100% określić czy działa. Nie śmiejcie się z mojej domeny lubię tę książkę :-).

na serwerze zainstalowałem:

aptitude install krb5-admin-sever krb5-kdc

i skonfigurowałem /etc/krb5.conf

[libdefaults]
        default_realm = HOGWARTH.EDU

# The following krb5.conf variables are only for MIT Kerberos.
        krb4_config = /etc/krb.con
        krb4_realms = /etc/krb.realms
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true

# The following encryption type specification will be used by MIT Kerberos
# if uncommented.  In general, the defaults in the MIT Kerberos code are
# correct and overriding these specifications only serves to disable new
# encryption types as they are added, creating interoperability problems.

        default_tgs_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
        default_tkt_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
        permitted_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5

[realms]
        HOGWARTH.EDU = {
                kdc = gryffindor.hogwarth.edu
                admin_server = gryffindor.hogwarth.edu
                default_domain = hogwarth.edu
        }

[domain_realm]
                hogwarth.edu = HOGWARTH.EDU
                .hogwarth.edu = HOGWARTH.EDU

[logging]
                kdc = FILE:/var/log/kerberos/krb5kdc.log
                admin_server = FILE:/var/log/kerberos/kadmin.log
                default = FILE:/var/log/kerberos/krb5lib.log
[login]
        krb4_convert = false
        krb4_get_tickets = false

utworzyłem pliki logów touch /var/log/kerberos/{krb5kdc.log,kadmin.log,krb5lib.log}

skonfigurowałem /etc/krb5kdc/kdc.conf

[kdcdefaults]
    kdc_ports = 750,88

[realms]
    HOGWARTH.EDU = {
        database_name = /var/lib/krb5kdc/principal
        admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab
        acl_file = /etc/krb5kdc/kadm5.acl
        key_stash_file = /etc/krb5kdc/stash
        kdc_ports = 750,88
        max_life = 10h 0m 0s
        max_renewable_life = 7d 0h 0m 0s
        master_key_type = des3-hmac-sha1
        supported_enctypes = des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3
        default_principal_flags = +preauth
    }

utworzyłem plik stash
#kdb5_util create -s

następnie kadmin.local tworze użutkownika ron/admin
#kadmin.local
>addprinc ron/admin
>listprincs
K/M@HOGWARTH.EDU
kadmin/admin@HOGWARTH.EDU
kadmin/changepw@HOGWARTH.EDU
kadmin/gryffindor.hogwarth.edu@HOGWARTH.EDU
kadmin/history@HOGWARTH.EDU
ron/admin@HOGWARTH.EDU
>exit

i restartuję kdc
#/etc/init.d/krb5-kdc restart

daję
#kinit ron/admin
#klist

Ticket cache: FILE:/tmp/krb5cc_0
Default principal: ron/admin@HOGWARTH.EDU

Valid starting     Expires            Service principal
11/07/07 13:29:51  11/07/07 23:29:51  krbtgt/HOGWARTH.EDU@HOGWARTH.EDU
        renew until 11/08/07 13:29:47


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached

widać że mam bilet.



określam listę dostępu kadm5.acl

kadmin/admin@HOGWARTH.EDU *
ron/admin@HOGWARTH.EDU *
*/*@HOGWARTH.EDU i

i tworze plik keytab

#kadmin.local
ktadd -k /etc/krb5kdc/kadm5.keytab kadmin/admin changepw

no i na koniec tworzę użytkowników ron i root
# /etc/init.d/krb5-kdc restart
#kadmin.local
>addprinc ron
>addprinc root
exit

sprawdzam rona i mam bilet. czyli wygląda na to że kerberos działa.
ale schody się zaczynają przy 2 komputerze kliencie.

instaluje na nim
# apt-get install krb5-user krb5-clients

kopiuje krb5.conf z serwera do /etc/krb5.conf klienta tworze pliki logow.
probuje

#kinit ron/admin
podaje haslo, sprawdzam mam bilet. chce uruchomic kadmin i musze ponownie podawac haslo czego juz nie powinno byc.

instaluje krb5-telnetd na serwerze.
aptitude install krb5-telnetd 

i na kliencie daje

telnet -a gryffindor
Trying 10.10.10.2...
Connected to gryffindor.hogwarth.edu (10.10.10.2).
Escape character is '^]'.
Password for root:
Login incorrect

powinno nie byc hasla nie wiem gdzie jest blad.


tu mam plik strefz y binda

$TTL 2d ; zone TTL default = 2 days or 172800 seconds
$ORIGIN hogwarth.edu.
@       IN      SOA     gryffindor.hogwarth.edu. wojtekgiel.wp.pl. (
                          2007091001    ; Serial
                          604800        ; Refresh
                          86400         ; Retry
                          2419200       ; Expire
                          86400 )       ; Negative Cache TTL
;
;
        IN      NS      gryffindor
;
;
localhost   IN  A  127.0.0.1
gryffindor  IN  A  10.10.10.2
kerberos    IN  A  10.10.10.2
ldap        IN  A  10.10.10.2
ravenclaw   IN  A  10.10.10.3
slytherin   IN  A  10.10.10.5
            IN  A  10.10.10.6
Dumbledore  IN  A  10.10.10.1
                          IN  A  195.22.124.112
;
;
_kerberos             IN TXT         "HOGWARTH.EDU"
_kerberos._tcp.HOGWARTH.EDU.        IN SRV  0 0 88  kerberos
_kerberos._udp.HOGWARTH.EDU.        IN SRV  0 0 88  kerberos
_kerberos-master._udp.HOGWARTH.EDU. IN SRV  0 0 88  kerberos
_kerberos-adm._tcp.HOGWARTH.EDU.    IN SRV  0 0 749 kerberos
_kpasswd._udp.HOGWARTH.EDU.         IN SRV  0 0 464 kerberos
;
;
_ldap._tcp   IN SRV 0 0 389 ldap
;
;
d195        IN  A  195.22.124.112
d10         IN  A  10.10.10.1

moze ktos ma jakies sugestie. dzieki