« SshAvecAfs » : différence entre les versions
Aller à la navigation
Aller à la recherche
(Instructions pour configurer ssh et sshd avec Kerberos et AFS) |
Aucun résumé des modifications |
||
| Ligne 1 : | Ligne 1 : | ||
Sur le client |
=== Sur le client === |
||
Dans /etc/ssh/ssh_config, ajouter : |
Dans /etc/ssh/ssh_config, ajouter : |
||
Host * |
Host * |
||
GSSAPIAuthentication yes |
GSSAPIAuthentication yes |
||
GSSAPIDelegateCredentials yes |
GSSAPIDelegateCredentials yes |
||
Dans /etc/krb5.conf, vérifier que le royaume est bien connu : |
Dans /etc/krb5.conf, vérifier que le royaume est bien connu : |
||
[libdefaults] |
[libdefaults] |
||
default_realm = LAMA.UNIV-SAVOIE.FR |
default_realm = LAMA.UNIV-SAVOIE.FR |
||
forwardable = true |
forwardable = true |
||
[realms] |
[realms] |
||
LAMA.UNIV-SAVOIE.FR = { |
LAMA.UNIV-SAVOIE.FR = { |
||
kdc = printers-lama.local.univ-savoie.fr |
kdc = printers-lama.local.univ-savoie.fr |
||
| Ligne 18 : | Ligne 18 : | ||
Pour chaque serveur SSH : |
Pour chaque serveur SSH : |
||
Dans /etc/ssh/sshd_config : |
Dans /etc/ssh/sshd_config : |
||
# Kerberos options |
# Kerberos options |
||
KerberosAuthentication yes |
KerberosAuthentication yes |
||
KerberosOrLocalPasswd yes |
KerberosOrLocalPasswd yes |
||
KerberosTicketCleanup yes |
KerberosTicketCleanup yes |
||
# GSSAPI options |
# GSSAPI options |
||
GSSAPIAuthentication yes |
GSSAPIAuthentication yes |
||
GSSAPICleanupCredentials yes |
GSSAPICleanupCredentials yes |
||
GSSAPIStrictAcceptorCheck no # ça c'est super important |
GSSAPIStrictAcceptorCheck no # ça c'est super important |
||
Sur le serveur du LAMA : |
Sur le serveur du LAMA : |
||
kadmin -l |
kadmin -l |
||
addprinc -r host/fqdn.de.la.machine@LAMA.UNIV-SAVOIE.FR |
addprinc -r host/fqdn.de.la.machine@LAMA.UNIV-SAVOIE.FR |
||
Puis copier le fichier /tmp/keytab.machine vers la machine:/etc/krb5.keytab |
Puis copier le fichier /tmp/keytab.machine vers la machine:/etc/krb5.keytab |
||
chmod 600 /etc/krb5.keytab |
chmod 600 /etc/krb5.keytab |
||
Version du 10 juillet 2012 à 13:42
Sur le client
Dans /etc/ssh/ssh_config, ajouter :
Host * GSSAPIAuthentication yes GSSAPIDelegateCredentials yes
Dans /etc/krb5.conf, vérifier que le royaume est bien connu :
[libdefaults]
default_realm = LAMA.UNIV-SAVOIE.FR
forwardable = true
[realms]
LAMA.UNIV-SAVOIE.FR = {
kdc = printers-lama.local.univ-savoie.fr
admin_server = printers-lama.local.univ-savoie.fr
}
Pour chaque serveur SSH : Dans /etc/ssh/sshd_config :
# Kerberos options KerberosAuthentication yes KerberosOrLocalPasswd yes KerberosTicketCleanup yes
# GSSAPI options GSSAPIAuthentication yes GSSAPICleanupCredentials yes GSSAPIStrictAcceptorCheck no # ça c'est super important
Sur le serveur du LAMA :
kadmin -l addprinc -r host/fqdn.de.la.machine@LAMA.UNIV-SAVOIE.FR
Puis copier le fichier /tmp/keytab.machine vers la machine:/etc/krb5.keytab
chmod 600 /etc/krb5.keytab