« SshAvecAfs » : différence entre les versions
Aller à la navigation
Aller à la recherche
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| Ligne 35 : | Ligne 35 : | ||
# kadmin -l |
# kadmin -l |
||
kadmin> add -r host/d45.lama.univ-savoie.fr@LAMA.UNIV-SAVOIE.FR |
kadmin> add -r host/d45.lama.univ-savoie.fr@LAMA.UNIV-SAVOIE.FR |
||
Max ticket life [1 week]: |
|||
Max renewable life [1 month 1 day]: |
|||
Principal expiration time [never]: |
|||
Password expiration time [never]: |
|||
Attributes []: |
|||
kadmin> ext_keytab -k /tmp/d45.keytab host/d45.lama.univ-savoie.fr |
kadmin> ext_keytab -k /tmp/d45.keytab host/d45.lama.univ-savoie.fr |
||
kadmin> quit |
kadmin> quit |
||
Version du 10 juillet 2012 à 13:52
Sur le client
Dans /etc/ssh/ssh_config, ajouter :
Host * GSSAPIAuthentication yes GSSAPIDelegateCredentials yes
Dans /etc/krb5.conf, vérifier que le royaume est bien connu :
[libdefaults]
default_realm = LAMA.UNIV-SAVOIE.FR
forwardable = true
[realms]
LAMA.UNIV-SAVOIE.FR = {
kdc = printers-lama.local.univ-savoie.fr
admin_server = printers-lama.local.univ-savoie.fr
}
Pour chaque serveur SSH
Sur la machine à kerbériser
Dans /etc/ssh/sshd_config :
# Kerberos options KerberosAuthentication yes KerberosOrLocalPasswd yes KerberosTicketCleanup yes
# GSSAPI options GSSAPIAuthentication yes GSSAPICleanupCredentials yes GSSAPIStrictAcceptorCheck no # ça c'est super important
Sur le serveur du LAMA
# kadmin -l kadmin> add -r host/d45.lama.univ-savoie.fr@LAMA.UNIV-SAVOIE.FR Max ticket life [1 week]: Max renewable life [1 month 1 day]: Principal expiration time [never]: Password expiration time [never]: Attributes []: kadmin> ext_keytab -k /tmp/d45.keytab host/d45.lama.univ-savoie.fr kadmin> quit
De nouveau sur la machine à Kerbériser
# scp www.lama.univ-savoie.fr:/tmp/d45.keytab /etc/krb5.keytab # chmod 600 /etc/krb5.keytab