Re: ssh und krb5 cross realm

To: debian-user-german@lists.debian.org
Subject: Re: ssh und krb5 cross realm
From: Wilhelm Wienemann <Wilhelm.Wienemann@t-online.de>
Date: Thu, 11 Nov 2004 02:36:39 +0100
Message-id: <[🔎] 20041111013639.GF12340@t-online.de>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 200411081007.03662.linux-user@bioinf.med.uni-goettingen.de>
References: <[🔎] 200411081007.03662.linux-user@bioinf.med.uni-goettingen.de>

Hallo Juergen!

Juergen Doenitz schrieb am Montag, 08. November 2004:

> bei mir will ssh mit kerberos in ein anderes realm nicht
> funktionieren.

Was berichtet denn das Kerberos log-file dazu?

 
> Einmal die Situation in Stichwoertern:
> 
> - Es gibt zwei kerberos realms A und B

Du berichtest jetzt von MIT Kerberos 5 (oder 4)?
Da bin ich leider nicht so sattelfest.
Hier habe ich nur eine wesentlich bescheidenere Heimdal (kerberos5)
Installation.

> - ticket-granting ticket service principals sind auf beiden kerberos 
> servern erstellt
> - capaths und das zusaetzliche realm sind in /etc/krb5.conf eingetragen.

Wie sehen die die Konfigurationen der beiden REALMS in /etc/krb5.conf
aus?
 
> Was funktioniert:
> * ssh innerhalb jedes realm
> * ldapsearch von realm A auf ldapserver in realm B
> d.h. ich bekomme ein krbtgt fuer B und ich bekomme ein service ticket 
> fuer LDAP von B und die LDAP Anfrage klappt.

Das ist doch schon mal ein prima Anfang... :-)
 
> ssh zwischen den realms klappt jedoch nicht
> Wenn ich mich von einem Rechner in A mit ssh zu einem Rechner in B 
> verbinden moechte erhalte ich wie bei LDAP alle noetigen tickets (auch 
> das host ticket) aber werde trotzdem wieder nach dem Passwort gefragt, 
                                       ^^^^^^
> gssapi schlaegt fehl.

Das riecht nach meiner unmaßgeblichen Meinung danach, als hättest
Du die Kerberos-Library(ies) entweder nicht oder in der falschen
Reihenfolge oder an falscher Stelle in den 'PAM'-Konfigurationsdateien
eingebunden. 

Vielleicht überprüfst Du das mal.
 
> Leider habe ich noch keine Hinweise gefunden was schief geht, bei ssh 
> klappt ja auch nur eine Methode nicht.
> Hatte jemand schon mal aehnliche Problem? Wieso klappt LDAP aber ssh 
> nicht? 

Hier hatte ich ähnliche Probleme mit der Integration von OpenAFS im
Zusammenspiel mit der Authentifizierung über Heimdal Kerberos5.  
Das lag dann an zuvor vorgestellter Problematik.

Viel Erfolg und viel Freude mit der Software, die nach dem dreiköpfigen
Hund Cerberus, der den Eingang zum Hades [1] bewachte, benannt wurde.

Grüße - Wilhelm

[1] = In der griechischen Mythologie die Bezeichnung für die Unterwelt
-- 
(°> Wilhelm Wienemann <Wilhelm.Wienemann@t-online.de>   -°)  -°)
//\ Grüße vom NiederRhein, der Region mit R(h)einKultur /\\   /\\
V_/_                                                   _\_V  _\_V

Reply to:

Follow-Ups:
- Re: ssh und krb5 cross realm
  - From: Juergen Doenitz <linux-user@bioinf.med.uni-goettingen.de>

References:
- ssh und krb5 cross realm
  - From: Juergen Doenitz <linux-user@bioinf.med.uni-goettingen.de>

Prev by Date: Re: Mailinglistenarchiv (was Re: [OT] Mails verloren ...)
Next by Date: Re: [SOLVED?] Re: apt-proxy - 404 - Warum? :-(
Previous by thread: Re: ssh und krb5 cross realm
Next by thread: Re: ssh und krb5 cross realm
Index(es):
- Date
- Thread