WikiTeki /  Modifications de « JeanChristopheAndré/Notes/Kerberos »

Quelques notes prises lors d'un « vieux » test (vers la mi-2007) d'installation et utilisation de Kerberos. -- ProgFou

Objectifs

Une authentification unifiée et sécurisée.

Idées

Cela concernera les services suivants (au moins) :

• SSH : host/hostname@REALM (via GSSAPI)

• NFS : nfs/hostname@REALM

• Samba :
• SMTP :

• /Dovecot : imap/hostname@REALM et pop/hostname@REALM

• Apache : HTTP/hostname@REALM

• ProFTPd : ftp/hostname@REALM

Évaluer l'intérêt du projet heimdal par rapport au krb5 du MIT.

Installation

• côté service (KDC) : krb5-user krb5-kdc krb5-admin-server
• côté client : krb5-user libpam-krb5 krb5-auth-dialog
• côté serveur : krb5-user libpam-krb5 libsasl2-modules-gssapi-mit

• entrées SRV dans le DNS

Problèmes rencontrés et question en suspens

• saslauthd (/etc/default/saslauthd) : mettre kerberos5 devant pam bloque l'authentification SMTP PAM ?

• dovecot (/etc/dovecot/dovecot.conf) : activer gssapi, même après plain, bloque Horde ? seulement avec PHP4, pas avec PHP5, ahem...

• dovecot (/etc/dovecot/dovecot.conf) : activer auth_default_realm bloque tout ? apparemment ça change aussi le domaine utilisateur, donc pas échec du login ; mais pas besoin de ça en fait

• nfs (/etc/default/nfs-kernel/server) : on ne peut avoir SVCGSSD et MOUNTD en même temps ?

• nfs (/etc/exports) : peut-on avoir des exports krb5 en même temps que classique ? apparemment oui, à tester...

Documentations

• http://help.ubuntu.com/community/SingleSignOn

• http://help.ubuntu.com/community/NFSv4Howto

• http://www.freesoftwaremagazine.com/blogs/kerberos_authenticating_on_the_network

• http://www.freesoftwaremagazine.com/blogs/securing_nfs

• http://www.freesoftwaremagazine.com/blogs/kerberos_final_bits