http://os-vps418.infomaniak.ch:1250/mediawiki/api.php?action=feedcontributions&feedformat=atom&user=PmeunWiki du LAMA (UMR 5127) - Contributions [fr]2026-05-21T09:04:44ZContributionsMediaWiki 1.39.4http://os-vps418.infomaniak.ch:1250/mediawiki/index.php?title=SshAvecAfs&diff=5863SshAvecAfs2012-12-05T18:00:38Z<p>Pmeun : </p>
<hr />
<div>== Sur le client ==<br />
<br />
Avec kerberos, on ne peut plus utiliser des clef RSA/SSH pour se connecter sans mot de passe.<br />
On peut toujours se connecter avec mot de passe.<br />
<br />
À la place des clefs ssh, on utilise des "tickets kerberos". Voici les instructions (pour linux et mac os, la même <br />
chose doit être possible sous Windows).<br />
<br />
Sous mac os, au moins jusqu'à la version 10.6, il faut commencer par installer la version ssh fournie par macports, celle d'apple n'étant pas compatible avec GSSAPI (même si l'option de configuration existe).<br />
<br />
Malheureusement, sous linux comme sous mac os, l'utilisation de ticket kerberos n'est pas activé par défaut. Dans /etc/ssh/ssh_config, <br />
il faut ajouter :<br />
Host *<br />
...<br />
GSSAPIAuthentication yes<br />
GSSAPIDelegateCredentials yes<br />
<br />
De plus, il faut installer kerberos avec<br />
<br />
apt-get install heimdal-clients<br />
<br />
Dans /etc/krb5.conf, vérifier que le royaume est bien connu (cela évite de donner<br />
le royaume à chaque fois que l'on se connecte, pour info le "royaume" c'est les machines<br />
du lama qui utilisent des tickets kerberos, en gros) :<br />
[libdefaults]<br />
default_realm = LAMA.UNIV-SAVOIE.FR<br />
forwardable = true<br />
[realms]<br />
LAMA.UNIV-SAVOIE.FR = {<br />
kdc = lama.univ-savoie.fr<br />
admin_server = lama.univ-savoie.fr<br />
}<br />
<br />
Vérifiez aussi dans le même fichier que "forwardable=yes"<br />
<br />
On peut alors faire du ssh sur lama.univ-savoie.fr presque sans mot de passe:<br />
<br />
on fait <br />
kinit <br />
<br />
ou si votre login n'est pas le même sur votre client et sur le serveur du lama<br />
kinit login_sur_lama<br />
<br />
On donne son mot de passe (sur le serveur lama) et on a alors un ticket kerberos. On peut vérifier que le ticket est encore valable<br />
avec <br />
klist<br />
<br />
Ensuite, tous les ssh sur le serveur marcheront sans mot de passe avec:<br />
ssh lama.univ-savoie.fr<br />
ou (toujours si le login n'est pas le même)<br />
ssh login@lama.univ-savoie.fr<br />
<br />
RAPPEL: il faut que votre mot de passe soit transférer du codage unix dans le codage kerberos, pour cela rien de plus simple:<br />
une connexion sur le serveur (par ssh ou en local) en tapant le mot de passe le transfert automatiquement.<br />
<br />
== Pour chaque serveur SSH ==<br />
<br />
On peut vouloir se connecter sur d'autres machines au labo que le serveur du LAMA ... <br />
grâce au ticket Kerberos que l'on détient dans le royaume LAMA.UNIV-SAVOIE.FR.<br />
<br />
On pourrait utiliser les clefs publiques/clefs privées de SSH, mais on a mieux avec Kerberos, car en plus le ticket AFS suit.<br />
<br />
Il faut alors faire en plus, pour chaque machine, les choses suivantes :<br />
<br />
=== Sur le serveur du LAMA ===<br />
<br />
Le serveur SSH de d45.lama.univ-savoie.fr a besoin d'un principal qui l'identifie dans le royaume. Ce principal c'est host/d45.lama.univ-savoie.fr@LAMA.UNIV-SAVOIE.FR et il faut le créer sur le serveur du LAMA.<br />
<br />
# kadmin -l<br />
kadmin> add -r host/d45.lama.univ-savoie.fr@LAMA.UNIV-SAVOIE.FR<br />
Max ticket life [1 week]:<br />
Max renewable life [1 month 1 day]:<br />
Principal expiration time [never]:<br />
Password expiration time [never]:<br />
Attributes []:<br />
kadmin> ext_keytab -k /tmp/d45.keytab host/d45.lama.univ-savoie.fr<br />
kadmin> quit<br />
<br />
Ne pas oublier de virer à la fin le fichier /tmp/d45.keytab (c'est une clef secrète) !<br />
<br />
=== Sur la machine à kerbériser ===<br />
<br />
Il faut activer le support Kerberos sur d45.lama.univ-savoie.fr dans SSH ; dans /etc/ssh/sshd_config :<br />
# Kerberos options<br />
KerberosAuthentication yes<br />
KerberosOrLocalPasswd yes<br />
KerberosTicketCleanup yes<br />
<br />
# GSSAPI options<br />
GSSAPIAuthentication yes<br />
GSSAPICleanupCredentials yes<br />
GSSAPIStrictAcceptorCheck no # ça c'est super important<br />
<br />
Et il faut lui donner son principal secret :<br />
<br />
# scp www.lama.univ-savoie.fr:/tmp/d45.keytab /etc/krb5.keytab<br />
# chmod 600 /etc/krb5.keytab</div>Pmeunhttp://os-vps418.infomaniak.ch:1250/mediawiki/index.php?title=Utilisation_des_imprimantes&diff=4141Utilisation des imprimantes2009-04-22T13:41:29Z<p>Pmeun : </p>
<hr />
<div>Configuration des imprimantes :<br />
<br />
* <font color="#FF8000"> Sous Linux : la configuration du client CUPS a normalement été faite automatiquement à l'installation</font>. En cas de problème, contactez les administrateurs. <br />
<br />
<br />
* <font color="#FF8000">Sous Mac : il est plus que recommandé de configurer les imprimantes de façon à passer par le serveur pour centraliser les files d'attente. </font><br />
<br><br />
Pour cela :<br />
** Préférences système -> imprimantes -> Ajouter (bouton +)<br />
** Cliquer sur l'onglet IP et/ou<br />
** Choisir le protocole IPP<br />
** Renseigner l'adresse du serveur : printers.lama.univ-savoie.fr<br />
** Dans "File d'attente" : indiquer printers/une des imprimantes du labo (biblio, color, gm3 ou seminaire) par exemple "printers/color"<br />
** Selectionner un gestionnaire : indiquer le type d'imprimante et les options ensuite (exemple recto-verso et bac3 pour seminaire) <br />
<br />
* Ceci dit, avec Mac OS 10.5 (Leopard), pour les imprimantes noir et blanc, il vaut mieux utiliser lpd, pour avoir accès à toutes les fonctions des imprimantes :<br />
** On peut obtenir l'adresse IP des imprimantes depuis une machine linux : lpstat -v<br />
** Aujourd'hui 22 Avril 2009, les IP sont : 192.168.144.5 (gm3), 192.168.144.6 (biblio) et 192.168.144.7 (seminaire)<br />
<br />
Remarque : les utilisateurs du VPN doivent utiliser le fichier uds+.pcf et pas le fichier uds.pcf standard.</div>Pmeun