Diese Seite beschreibt das Kerberos-Setup in Zeuthen. Das grundsätzliche Kerboros-Prinzip ist hier beschrieben: https://de.wikipedia.org/wiki/Kerberos_(Informatik)
Software
Wir nutzen die Kerberos-5 Implementation Heimdal in der Version 7.4 aktuell. RPM-Pakete werden von uns direkt aus den Quellen gebaut. Es gibt mittlerweile brauchbare Pakete in Fedora-EPEL, die aber teilweise andere Pfade nutzen und somit bei einer Migration Aufwand zu tätigen ist.
Client
Clients werden über das kerberos Feature konfiguriert. Das Feature erzeugt 2x die Konfiguration:
/etc/krb5.conf |
Konfiguration für MIT Implementation |
/etc/heimdal/krb5.conf |
Konfiguration für Heimdal Implementation |
Dies ist nötig, da manche Optionen in unterschiedliche benannt sind in den beiden Implementationen.
Zusätzlich zur standardmäßigen, im System enthaltenen MIT-Kerberos Implementation installieren wir auf allen (Client-)Systemen auch Heimdal. Primär deshalb, weil in den Heimdal-Clients eine sehr gute AFS-Unterstützung eingebaut ist. So generiert/aktualisiert ein Heimdal-Client beim kinit Aufruf automatisch das AFS-Token. Die MIT-Implementation macht das nicht, sodaß Wrapper o.ä. nötig wären in diesem Fall.
Alle im System enthaltene kerberisierte Software nutzt jedoch die MIT-Bibliotheken. Dieser Mischbetrieb läuft bislang problemlos.