|
⇤ ← Revision 1 as of 2017-08-09 08:53:43
Size: 1443
Comment:
|
Size: 2647
Comment:
|
| Deletions are marked like this. | Additions are marked like this. |
| Line 21: | Line 21: |
Wir betreiben 3 "Key Distribution Centre" (KDC) als VM auf den Hosts fred, wilma, barney. Alias-Namen: '''kdc{1..3}''' Unsere Realm heißt immer noch '''IFH.DE'''. Es ist geplant, "irgendwann" diese Realm abzulösen durch '''ZEUTHEN.DESY.DE'''. Die existiert schon, Nutzerpaßwörter werden seit langem auch in diese Realm synchronisiert. == Kerberisierte Dienste in Zeuthen == ||<rowstyle="background-color: #E0E0FF;"> Dienst || Principal || evtl. Maschine(n) || || SSH || host/<hostname> || alle || || Apache || HTTP/<hostname> || z.B. Vamos, Subversion, WWW || || NFSv4 || nfs/<hostname> || z.B. alle Poolknoten und Chimera des ACS dCache || || ARCX || arc/<hostname> || z.B. acron, afs_admin-Server || || IMAP || imap/<hostname> || imap-admin.zeuthen.desy.de || == Automatisierte Verteilung von Kerberos Keytabs == Standardmäßig wird beim Aufruf von '''prepare-ai''' der '''host/<hostname>@IFH.DE''' Principal angelegt ( /!\ oder mit neuen Keys versehen!). Sollen weitere Principals für einen Host mit angelegt werden, sollte dies über das Setzen der Vamos-Variable '''AI_KRB5_KEYS''' geschehen. Bsp: {{{ [wgs03] ~ % vamos -qx host tac-vm7 vars.AI_KRB5_KEYS imap }}} |
Diese Seite beschreibt das Kerberos-Setup in Zeuthen. Das grundsätzliche Kerboros-Prinzip ist hier beschrieben: https://de.wikipedia.org/wiki/Kerberos_(Informatik)
Software
Wir nutzen die Kerberos-5 Implementation Heimdal in der Version 7.4 aktuell. RPM-Pakete werden von uns direkt aus den Quellen gebaut. Es gibt mittlerweile brauchbare Pakete in Fedora-EPEL, die aber teilweise andere Pfade nutzen und somit bei einer Migration Aufwand zu tätigen ist.
Client
Clients werden über das kerberos Feature konfiguriert. Das Feature erzeugt 2x die Konfiguration:
/etc/krb5.conf |
Konfiguration für MIT Implementation |
/etc/heimdal/krb5.conf |
Konfiguration für Heimdal Implementation |
Dies ist nötig, da manche Optionen in unterschiedliche benannt sind in den beiden Implementationen.
Zusätzlich zur standardmäßigen, im System enthaltenen MIT-Kerberos Implementation installieren wir auf allen (Client-)Systemen auch Heimdal. Primär deshalb, weil in den Heimdal-Clients eine sehr gute AFS-Unterstützung eingebaut ist. So generiert/aktualisiert ein Heimdal-Client beim kinit Aufruf automatisch das AFS-Token. Die MIT-Implementation macht das nicht, sodaß Wrapper o.ä. nötig wären in diesem Fall.
Alle im System enthaltene kerberisierte Software nutzt jedoch die MIT-Bibliotheken. Dieser Mischbetrieb läuft bislang problemlos.
Server
Wir betreiben 3 "Key Distribution Centre" (KDC) als VM auf den Hosts fred, wilma, barney. Alias-Namen: kdc{1..3}
Unsere Realm heißt immer noch IFH.DE. Es ist geplant, "irgendwann" diese Realm abzulösen durch ZEUTHEN.DESY.DE. Die existiert schon, Nutzerpaßwörter werden seit langem auch in diese Realm synchronisiert.
Kerberisierte Dienste in Zeuthen
Dienst |
Principal |
evtl. Maschine(n) |
SSH |
host/<hostname> |
alle |
Apache |
HTTP/<hostname> |
z.B. Vamos, Subversion, WWW |
NFSv4 |
nfs/<hostname> |
z.B. alle Poolknoten und Chimera des ACS dCache |
ARCX |
arc/<hostname> |
z.B. acron, afs_admin-Server |
IMAP |
imap/<hostname> |
imap-admin.zeuthen.desy.de |
Automatisierte Verteilung von Kerberos Keytabs
Standardmäßig wird beim Aufruf von prepare-ai der host/<hostname>@IFH.DE Principal angelegt ( ![/!\](/moin_static1911/sinorca4moin/img/alert.png "/!\"){kind=small}
oder mit neuen Keys versehen!). Sollen weitere Principals für einen Host mit angelegt werden, sollte dies über das Setzen der Vamos-Variable AI_KRB5_KEYS geschehen. Bsp:
[wgs03] ~ % vamos -qx host tac-vm7 vars.AI_KRB5_KEYS imap