SshAvecAfs

De Wiki du LAMA (UMR 5127)
Aller à la navigation Aller à la recherche

Sur le client

Dans /etc/ssh/ssh_config, ajouter :

Host *
GSSAPIAuthentication yes
GSSAPIDelegateCredentials yes

Dans /etc/krb5.conf, vérifier que le royaume est bien connu :

[libdefaults]
       default_realm = LAMA.UNIV-SAVOIE.FR
       forwardable = true
[realms]
       LAMA.UNIV-SAVOIE.FR = {
               kdc = printers-lama.local.univ-savoie.fr
               admin_server = printers-lama.local.univ-savoie.fr
       }

Pour chaque serveur SSH

Sur la machine à kerbériser

Dans /etc/ssh/sshd_config :

# Kerberos options
KerberosAuthentication yes
KerberosOrLocalPasswd yes
KerberosTicketCleanup yes
# GSSAPI options
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
GSSAPIStrictAcceptorCheck no # ça c'est super important

Sur le serveur du LAMA

# kadmin -l
kadmin> add -r host/d45.lama.univ-savoie.fr@LAMA.UNIV-SAVOIE.FR
kadmin> ext_keytab -k /tmp/d45.keytab host/d45.lama.univ-savoie.fr
kadmin> quit

De nouveau sur la machine à Kerbériser

# scp www.lama.univ-savoie.fr:/tmp/d45.keytab /etc/krb5.keytab
# chmod 600 /etc/krb5.keytab