Re: ssh und krb5 cross realm
Hallo Juergen!
Juergen Doenitz schrieb am Donnerstag, 11. November 2004:
> Am Donnerstag 11 November 2004 02:36 schrieb Wilhelm Wienemann:
>> Juergen Doenitz schrieb am Montag, 08. November 2004:
>
> Hallo Wilhelm,
>
>>> bei mir will ssh mit kerberos in ein anderes realm nicht
>>> funktionieren.
>>
>> Was berichtet denn das Kerberos log-file dazu?
> Wenn ich noch kein host ticket habe, gibt es einen Eintrag, dass ein
> Ticket angefordert worde, wenn ich ssh zu einem Rechner aus dem andere
> realm mache, wird erst nach einem krbtgt fuer diesen realm gefragt und
> den dortigen krb-Server nach einem host ticket.
> Fehlermeldungen gibt es keine, wieso auch?
^^^^^^^^^^^^^^^
Das log-file protokolliert ja nicht *nur* Fehlermeldungen.
[...]
>>> - ticket-granting ticket service principals sind auf beiden
>>> kerberos servern erstellt
>>> - capaths und das zusaetzliche realm sind in /etc/krb5.conf
>>> eingetragen.
>>
>> Wie sehen die die Konfigurationen der beiden REALMS in /etc/krb5.conf
>> aus?
>
> [realms]
> A.B.DE = {
> kdc = krb.A.B.de
> admin_server = krb.A.B.de
> }
> C.DE = {
> kdc = krb.C.de
> admin_server = krb.C.de}
>
> [capaths]
> C.DE = {
> A.B.DE = .
> }
>
> A.B.DE = {
> C.DE = .
> }
>
> ldap funktioniert ja auch ueber die realm-Grenze hinweg bei ssh
> bekomme ich ja auch ein TGT und das host ticket von dem krb-server.
Du hast sicherlich mit 'klist' überprüft, ob es auch vom richtigen
Server kommt?
> Anscheinend akzeptiert der ssh-server das Ticket nicht, aber wieso?
Ich habe immer noch meinen ursprünglich geäußerten Verdacht mit
den Lybraries.
>>> ssh zwischen den realms klappt jedoch nicht
>>> Wenn ich mich von einem Rechner in A mit ssh zu einem Rechner in B
>>> verbinden moechte erhalte ich wie bei LDAP alle noetigen tickets
>>> (auch das host ticket) aber werde trotzdem wieder nach dem Passwort
>>> gefragt,
>>
>> ^^^^^^
>>
>>> gssapi schlaegt fehl.
>>
>> Das riecht nach meiner unmaßgeblichen Meinung danach, als hättest
>> Du die Kerberos-Library(ies) entweder nicht oder in der falschen
>> Reihenfolge oder an falscher Stelle in den
>> 'PAM'-Konfigurationsdateien eingebunden.
>
> das 'wieder' bezog sich darauf, dass ich mich ja schon ueber den
> kerberos Server authentifiziert habe. ssh versucht als erstes gssapi,
> das schlaegt fehlt und es werden die naechsten Methoden versucht, was
> dann beim Passwort endet.
> Innerhalb des realm funktioniert ssh ohne Probleme, es gibt also auch
> keine grundlegenden Problem mit ssh-krb5.
>> Vielleicht überprüfst Du das mal.
Hast Du das gemacht?
>>> Leider habe ich noch keine Hinweise gefunden was schief geht, bei
>>> ssh klappt ja auch nur eine Methode nicht.
>>> Hatte jemand schon mal aehnliche Problem? Wieso klappt LDAP aber
>>> ssh nicht?
>>
>> Hier hatte ich ähnliche Probleme mit der Integration von OpenAFS im
>> Zusammenspiel mit der Authentifizierung über Heimdal Kerberos5.
>> Das lag dann an zuvor vorgestellter Problematik.
>
> OpenAFS kommt dann vielleicht noch. Erst einmal sollte einloggen mit
> krb5 und ldap klappen.
Das ist die Grundvoraussetzung für alles Weitere.
Sicherlich hast Du das schon alles durchgelesen, dennoch verweise
ich mal auf das 'OpenLDAP, OpenSSL, SASL and KerberosV-HOWTO', das
du dir auf
http://www.bayour.com/LDAPv3-HOWTO.html
besorgen kannst. Es hat insofern noch ein besonderes Schmankerl,
als es auf eine Debian Distribution basiert.
Ansonsten habe ich auf deine noch offenen Fragen auch keine weiteren
Hinweise. Dennoch, viel Erfolg! Vielleicht berichtest du mal wieder
hier, wenn du das Problem gelöst haben solltest.
Grüße - Wilhelm
--
(°> Wilhelm Wienemann <Wilhelm.Wienemann@t-online.de> -°) -°)
//\ Grüße vom NiederRhein, der Region mit R(h)einKultur /\\ /\\
V_/_ _\_V _\_V
Reply to: