|
⇤ ← Version 1 à la date du 2007-12-05 19:48:25
Taille: 1499
Commentaire: allez hop, histoire de ne pas laisser dire que je garde ça pour moi...
|
Taille: 1573
Commentaire: et les champs SRV
|
| Texte supprimé. | Texte ajouté. |
| Ligne 22: | Ligne 22: |
| * entrées SRV dans le DNS : '''à compléter''' (cf zone `vn.auf.org`) |
Quelques notes prises lors d'un « vieux » (plus de 6 mois) test d'installation et utilisation de Kerberos. -- ProgFou
Objectifs
Une authentification unifiée et sécurisée.
Idées
Cela concernera les services suivants (au moins) :
SSH : host/hostname@REALM (via GSSAPI)
NFS : nfs/hostname@REALM
- Samba :
- SMTP :
Dovecot : imap/hostname@REALM
Apache : HTTP/hostname@REALM
ProFTPd : ftp/hostname@REALM
Évaluer l'intérêt du projet heimdal par rapport au krb5 du MIT.
Installation
- côté service (KDC) : krb5-user krb5-kdc krb5-admin-server
- côté client : krb5-user libpam-krb5 krb5-auth-dialog
- côté serveur : krb5-user libpam-krb5 libsasl2-modules-gssapi-mit
entrées SRV dans le DNS : à compléter (cf zone vn.auf.org)
Problèmes rencontrés et question en suspens
- saslauthd (/etc/default/saslauthd) : mettre kerberos5 devant pam bloque l'auth. SMTP pam ?
- dovecot (/etc/dovecot/dovecot.conf) : activer gssapi, même après plain, bloque Horde ?
- dovecot (/etc/dovecot/dovecot.conf) : activer auth_default_realm bloque tout ?
- nfs (/etc/default/nfs-kernel/server) : on ne peut avoir SVCGSSD et MOUNTD en même temps ?
- nfs (/etc/exports) : peut-on avoir des exports krb5 en même temps que classique ?