SshAvecAfs
Aller à la navigation
Aller à la recherche
Sur le client
Dans /etc/ssh/ssh_config, ajouter :
Host * GSSAPIAuthentication yes GSSAPIDelegateCredentials yes
Dans /etc/krb5.conf, vérifier que le royaume est bien connu :
[libdefaults] default_realm = LAMA.UNIV-SAVOIE.FR forwardable = true [realms] LAMA.UNIV-SAVOIE.FR = { kdc = printers-lama.local.univ-savoie.fr admin_server = printers-lama.local.univ-savoie.fr }
Pour chaque serveur SSH
Sur la machine à kerbériser
Dans /etc/ssh/sshd_config :
# Kerberos options KerberosAuthentication yes KerberosOrLocalPasswd yes KerberosTicketCleanup yes
# GSSAPI options GSSAPIAuthentication yes GSSAPICleanupCredentials yes GSSAPIStrictAcceptorCheck no # ça c'est super important
Sur le serveur du LAMA
# kadmin -l kadmin> add -r host/d45.lama.univ-savoie.fr@LAMA.UNIV-SAVOIE.FR Max ticket life [1 week]: Max renewable life [1 month 1 day]: Principal expiration time [never]: Password expiration time [never]: Attributes []: kadmin> ext_keytab -k /tmp/d45.keytab host/d45.lama.univ-savoie.fr kadmin> quit
De nouveau sur la machine à Kerbériser
# scp www.lama.univ-savoie.fr:/tmp/d45.keytab /etc/krb5.keytab # chmod 600 /etc/krb5.keytab