[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: ssh und krb5 cross realm



Am Donnerstag 11 November 2004 02:36 schrieb Wilhelm Wienemann:
> Juergen Doenitz schrieb am Montag, 08. November 2004:

Hallo Wilhelm,

> > bei mir will ssh mit kerberos in ein anderes realm nicht
> > funktionieren.
>
> Was berichtet denn das Kerberos log-file dazu?
Wenn ich noch kein host ticket habe, gibt es einen Eintrag, dass ein 
Ticket angefordert worde, wenn ich ssh zu einem Rechner aus dem andere 
realm mache, wird erst nach einem krbtgt fuer diesen realm gefragt und 
den dortigen krb-Server nach einem host ticket.
Fehlermeldungen gibt es keine, wieso auch? der krb-server gibt ein 
gueltiges host-ticket aus und bei ssh funktioniert nur eine Methode von 
mehreren nicht, das ist nicht unnormal.
Ich bekomme ja auch alle Tickets insbesondere das richtige host ticket.


> > Einmal die Situation in Stichwoertern:
> >
> > - Es gibt zwei kerberos realms A und B
>
> Du berichtest jetzt von MIT Kerberos 5 (oder 4)?
> Da bin ich leider nicht so sattelfest.
> Hier habe ich nur eine wesentlich bescheidenere Heimdal (kerberos5)
> Installation.

krb5-MIT

> > - ticket-granting ticket service principals sind auf beiden
> > kerberos servern erstellt
> > - capaths und das zusaetzliche realm sind in /etc/krb5.conf
> > eingetragen.
>
> Wie sehen die die Konfigurationen der beiden REALMS in /etc/krb5.conf
> aus?

[realms]
A.B.DE = {
         kdc = krb.A.B.de
        admin_server = krb.A.B.de
}
        C.DE = {
        kdc = krb.C.de
        admin_server = krb.C.de}

[capaths]
        C.DE = {
                A.B.DE = .
        }

        A.B.DE = {
                C.DE = .
        }

ldap funktioniert ja auch ueber die realm-Grenze hinweg bei ssh bekomme 
ich ja auch ein TGT und das host ticket von dem krb-server.
Anscheinend akzeptiert der ssh-server das Ticket nicht, aber wieso?

> > Was funktioniert:
> > * ssh innerhalb jedes realm
> > * ldapsearch von realm A auf ldapserver in realm B
> > d.h. ich bekomme ein krbtgt fuer B und ich bekomme ein service
> > ticket fuer LDAP von B und die LDAP Anfrage klappt.
>
> Das ist doch schon mal ein prima Anfang... :-)
>
ja, aber deswegen verstehe ich nicht wieso ssh nicht will. Eigentlich 
funktioniert es ja.

> > ssh zwischen den realms klappt jedoch nicht
> > Wenn ich mich von einem Rechner in A mit ssh zu einem Rechner in B
> > verbinden moechte erhalte ich wie bei LDAP alle noetigen tickets
> > (auch das host ticket) aber werde trotzdem wieder nach dem Passwort
> > gefragt,
>
>                                        ^^^^^^
>
> > gssapi schlaegt fehl.
>
> Das riecht nach meiner unmaßgeblichen Meinung danach, als hättest
> Du die Kerberos-Library(ies) entweder nicht oder in der falschen
> Reihenfolge oder an falscher Stelle in den
> 'PAM'-Konfigurationsdateien eingebunden.

das 'wieder' bezog sich darauf, dass ich mich ja schon ueber den 
kerberos Server authentifiziert habe. ssh versucht als erstes gssapi, 
das schlaegt fehlt und es werden die naechsten Methoden versucht, was 
dann beim Passwort endet.
Innerhalb des realm funktioniert ssh ohne Probleme, es gibt also auch 
keine grundlegenden Problem mit ssh-krb5. 

> Vielleicht überprüfst Du das mal.
>
> > Leider habe ich noch keine Hinweise gefunden was schief geht, bei
> > ssh klappt ja auch nur eine Methode nicht.
> > Hatte jemand schon mal aehnliche Problem? Wieso klappt LDAP aber
> > ssh nicht?
>
> Hier hatte ich ähnliche Probleme mit der Integration von OpenAFS im
> Zusammenspiel mit der Authentifizierung über Heimdal Kerberos5.
> Das lag dann an zuvor vorgestellter Problematik.

OpenAFS kommt dann vielleicht noch. Erst einmal sollte einloggen mit 
krb5 und ldap klappen.

> Viel Erfolg und viel Freude mit der Software, die nach dem
> dreiköpfigen Hund Cerberus, der den Eingang zum Hades [1] bewachte,
> benannt wurde.
>
> Grüße - Wilhelm

Gruss juergen

> [1] = In der griechischen Mythologie die Bezeichnung für die
> Unterwelt



Reply to: