SshAvecAfs
Aller à la navigation
Aller à la recherche
Sur le client
Dans /etc/ssh/ssh_config, ajouter :
Host * GSSAPIAuthentication yes GSSAPIDelegateCredentials yes
Dans /etc/krb5.conf, vérifier que le royaume est bien connu :
[libdefaults]
default_realm = LAMA.UNIV-SAVOIE.FR
forwardable = true
[realms]
LAMA.UNIV-SAVOIE.FR = {
kdc = printers-lama.local.univ-savoie.fr
admin_server = printers-lama.local.univ-savoie.fr
}
Pour chaque serveur SSH
Sur le serveur du LAMA
# kadmin -l kadmin> add -r host/d45.lama.univ-savoie.fr@LAMA.UNIV-SAVOIE.FR Max ticket life [1 week]: Max renewable life [1 month 1 day]: Principal expiration time [never]: Password expiration time [never]: Attributes []: kadmin> ext_keytab -k /tmp/d45.keytab host/d45.lama.univ-savoie.fr kadmin> quit
Ne pas oublier de virer à la fin le fichier /tmp/d45.keytab (c'est une clef secrète) !
Sur la machine à kerbériser
Dans /etc/ssh/sshd_config :
# Kerberos options KerberosAuthentication yes KerberosOrLocalPasswd yes KerberosTicketCleanup yes # GSSAPI options GSSAPIAuthentication yes GSSAPICleanupCredentials yes GSSAPIStrictAcceptorCheck no # ça c'est super important
Puis récupérer le keytab :
# scp www.lama.univ-savoie.fr:/tmp/d45.keytab /etc/krb5.keytab # chmod 600 /etc/krb5.keytab