kerberos V5.

Thu Jul 27 02:09:41 EEST 2000

On Wed, 26 Jul 2000, Vasilis Vasaitis wrote:

>   Φαντάζομαι ότι το μόνο που χρειάζεται να κάνεις είναι να κάνεις το
> /bin/login ένα symlink στο login.krb5, και αυτό αναλαμβάνει τα υπόλοιπα.

Δυστυχώς αυτό δε λειτουργεί σωστά (τουλάχιστον κάνοντας μόνο το
symlink). Με το login.krb5 βάζοντας το login και κατόπιν το passwd,
εμφανίζει τη πρώτη γραμμή μετά το login:
Last login: Wed Jul 26 22:34:11 from host.domain και κατόπιν με βγάζει
πάλι στο login prompt της κονσόλας χωρίς να έχει αφήσει τίποτα στα logs.

> Εναλλακτικά, αν το σύστημα υποστηρίζει PAM (π.χ. RedHat 5.x και άνω, Debian)
[snipped]

Έβαλα το pam module με τα απαραίτητα αρχεία στο /etc/pam.d απο το πακέτο
pam_krb5 ( το σύστημα είναι redhat 6.2 και στον server και στον client),
και δουλέυει κάπως αλλά όχι απόλυτα σωστά....για να γίνω πιο σαφής:

Όταν στο τοπικό /etc/passwd του client δεν υπάρχει ο συγκεκριμένος user
τότε το login δεν επιτυγχάνεται (Ακόμα και αν υπάρχει το principle στον
KDC).

Όταν στο τοπικο /etc/passwd του client υπάρχει entry για τον user αλλά με
το password κενό στο /etc/shadow πχ saipman:*:11131:0:99999:7:::
τότε το authentication γίνεται σωστά μέσω του kerberos και μάλιστα κάνει
obtain τα tickets απο τον KDC ώστε να μπορεί ο user άμεσα να τα
χρησιμοποιήσει για authentication.

Όταν στο τοπικό /etc/passwd του client υπάρχει entry για τον user και το
password στο /etc/shadow είναι το ίδιο με αυτό του kerberos, τότε το
authentication γίνεται σε UNIX level ( απο τα local files ) και έτσι ενώ
μεν ο user μπορεί να μπεί στον client, δεν έχει tickets για kerberos
authentication και πρέπει να τα ζητήσει χειροκίνητα με το kinit. Προφανώς
αυτό έχει να κάνει με τη σειρά των entries στο /etc/pam.d/login:

#%PAM-1.0
auth    required        /lib/security/pam_securetty.so
auth    required        /lib/security/pam_nologin.so
auth    sufficient      /lib/security/pam_unix.so shadow md5 nullok likeauth
auth    required        /lib/security/pam_krb5.so use_first_pass
account required        /lib/security/pam_unix.so
password        required        /lib/security/pam_cracklib.so
password        required        /lib/security/pam_unix.so shadow md5 nullok use_authtok
session required        /lib/security/pam_unix.so
session optional        /lib/security/pam_krb5.so
session optional        /lib/security/pam_console.so

Ακόμα δεν έχω κοιτάξει μήπως μπορεί να λυθεί το πρόβλημα αλλάζωντας τα
entries στο /etc/pam.d/login μιας και δε είχα χρόνο να διαβάσω το pam
manual. Any ideas?

> 
>   Εκτός δηλαδή αν ζητάς κάτι τελείως διαφορετικό 
[snipped]

Όχι, αυτό ακριβώς ζητάω, το οποίο δεν έχει πετύχει απόλυτα όπως το
θέλω. (Δηλαδή να αν υπάρχει το ίδιο password του user στο client, να
γίνεται σωστά το authentication μεσω kerberos, και ο user να έχει λάβει
granting ticket απο τοn KDC με το που κάνει login).
Και κάτι ακομα· είναι δυνατον αλλάζοντας ο user το password του στον
client να αλλάζει και το password στον KDC; (ίσως κάτι με PAM);

Ευχαριστώ εκ των πρωτέρων και ελπίζω να μην δημιούργησα πρόβλημα με το
μέγεθος του email.

Konstandinos A. Saipas
saipman at eexi.gr, k.saipas at wmin.ac.uk
MSc Computer Networks & Communications @ University of Westminster

BOFH Excuse of the day: Your computer's union contract is set to expire at midnight.

--
linux-greek-users mailing list -- http://lists.hellug.gr