Fragen zu kerberos
Hallo,
ich habe mir testweise einen kerberos server REALM aufgesetzt. Auf
diesem läuft jetzt auch krb5-rsh-server (mittles inetd). Als principles
habe ich root@REALM root/admin@REALM und peter@REALM und
host/kerberos.example.com@REALM eingerichtet.
Auf einer zweiten Maschine habe ich PAM so eingerichtet, dass es sich
gegen kerberos authentifiziert. Das funktioniert auch. Auch ein "kinit
root" und "krb5-rsh -PN -x -l root kerberos.example.com" funktioniert
(Auf dem kerberos server ist root der einzige nutzer und es läuft kein ssh).
Möglicherweise habe ich das Prinzip von kerberos noch nicht ganz
verstanden, aber auf folgende Fragen habe ich bis jetzt keine Antwort
gefunden:
Ist es möglich, Kerberos so zu konfigurieren, dass er nur von
bestimmten, per kerberos authentifizierten, hosts Anfragen annimmt?
Ist es möglich, ein principle auf bestimmte services zu beschränken, so
dass bspw. peter sich nur gegen ssh und nfs authentifizieren kann, nicht
aber gegen http und ftp und root nur gegen host von maschine xyz?
Vielen, vielen Dank
PJ
Reply to: