|
Taille: 1499
Commentaire: allez hop, histoire de ne pas laisser dire que je garde ça pour moi...
|
← Version 11 à la date du 2011-01-14 11:56:33 ⇥
Taille: 2322
Commentaire: + LDAP
|
| Texte supprimé. | Texte ajouté. |
| Ligne 1: | Ligne 1: |
| Quelques notes prises lors d'un « vieux » (plus de 6 mois) test d'installation et utilisation de Kerberos. -- ProgFou | Quelques notes prises lors d'un « vieux » test (vers la mi-2007) d'installation et utilisation de Kerberos. -- ProgFou |
| Ligne 8: | Ligne 8: |
| * SSH : `host/hostname@REALM` (via GSSAPI) | * [[/SSH]] : `host/hostname@REALM` (via GSSAPI) |
| Ligne 11: | Ligne 11: |
| * SMTP : * Dovecot : `imap/hostname@REALM` |
* SMTP : `smtp/hostname@REALM` (via SASL+GSSAPI) * [[/Dovecot]] : `imap/hostname@REALM` et `pop/hostname@REALM` |
| Ligne 15: | Ligne 15: |
| * LDAP : `ldap/hostname@REALM` | |
| Ligne 20: | Ligne 21: |
| * côté client : krb5-user libpam-krb5 krb5-auth-dialog | . (!) lancer un `dpkg-reconfigure krb5-config` pour activer l'utilisation des entrées SRV (désactivée par défaut) * côté client : krb5-user libpam-krb5 libsasl2-modules-gssapi-mit krb5-auth-dialog |
| Ligne 22: | Ligne 24: |
| * [[/DNS|entrées SRV dans le DNS]] | |
| Ligne 24: | Ligne 27: |
| * saslauthd (/etc/default/saslauthd) : mettre kerberos5 devant pam bloque l'auth. SMTP pam ? * dovecot (/etc/dovecot/dovecot.conf) : activer gssapi, même après plain, bloque Horde ? * dovecot (/etc/dovecot/dovecot.conf) : activer auth_default_realm bloque tout ? * nfs (/etc/default/nfs-kernel/server) : on ne peut avoir SVCGSSD et MOUNTD en même temps ? * nfs (/etc/exports) : peut-on avoir des exports krb5 en même temps que classique ? |
* --(saslauthd (/etc/default/saslauthd) : mettre `kerberos5` devant `pam` bloque l'authentification SMTP PAM ? )-- utilisation de Dovecot-SASL à la place * --(dovecot (/etc/dovecot/dovecot.conf) : activer `gssapi`, même après `plain`, bloque Horde ? seulement avec PHP4, pas avec PHP5, ahem...)-- * --(dovecot (/etc/dovecot/dovecot.conf) : activer auth_default_realm bloque tout ? apparemment ça change aussi le domaine utilisateur, donc pas échec du login ; mais pas besoin de ça en fait)-- * nfs (/etc/default/nfs-kernel/server) : on ne peut avoir `SVCGSSD` et `MOUNTD` en même temps ? * nfs (/etc/exports) : peut-on avoir des exports krb5 en même temps que classique ? apparemment [[http://help.ubuntu.com/community/NFSv4Howto#head-aa2dbf0f90cbb4fa858dd54da48a734244ca6839-2|oui]], à tester... |
| Ligne 31: | Ligne 34: |
| * https://wiki.ubuntu.com/NetworkAuthentication/KerberizeServices * http://help.ubuntu.com/community/SingleSignOn * http://help.ubuntu.com/community/NFSv4Howto |
Quelques notes prises lors d'un « vieux » test (vers la mi-2007) d'installation et utilisation de Kerberos. -- ProgFou
Objectifs
Une authentification unifiée et sécurisée.
Idées
Cela concernera les services suivants (au moins) :
/SSH : host/hostname@REALM (via GSSAPI)
NFS : nfs/hostname@REALM
- Samba :
SMTP : smtp/hostname@REALM (via SASL+GSSAPI)
/Dovecot : imap/hostname@REALM et pop/hostname@REALM
Apache : HTTP/hostname@REALM
ProFTPd : ftp/hostname@REALM
LDAP : ldap/hostname@REALM
Évaluer l'intérêt du projet heimdal par rapport au krb5 du MIT.
Installation
- côté service (KDC) : krb5-user krb5-kdc krb5-admin-server
lancer un dpkg-reconfigure krb5-config pour activer l'utilisation des entrées SRV (désactivée par défaut) - côté client : krb5-user libpam-krb5 libsasl2-modules-gssapi-mit krb5-auth-dialog
- côté serveur : krb5-user libpam-krb5 libsasl2-modules-gssapi-mit
Problèmes rencontrés et question en suspens
saslauthd (/etc/default/saslauthd) : mettre kerberos5 devant pam bloque l'authentification SMTP PAM ? utilisation de Dovecot-SASL à la place
dovecot (/etc/dovecot/dovecot.conf) : activer gssapi, même après plain, bloque Horde ? seulement avec PHP4, pas avec PHP5, ahem...
dovecot (/etc/dovecot/dovecot.conf) : activer auth_default_realm bloque tout ? apparemment ça change aussi le domaine utilisateur, donc pas échec du login ; mais pas besoin de ça en fait
nfs (/etc/default/nfs-kernel/server) : on ne peut avoir SVCGSSD et MOUNTD en même temps ?
nfs (/etc/exports) : peut-on avoir des exports krb5 en même temps que classique ? apparemment oui, à tester...