Modifications entre les versions 9 et 11 (s'étendant sur 2 versions)
Version 9 à la date du 2010-03-19 08:47:11
Taille: 2049
Éditeur: JeanChristopheAndré
Commentaire: + une page excellent sur le sujet
Version 11 à la date du 2011-01-14 11:56:33
Taille: 2322
Éditeur: JeanChristopheAndré
Commentaire: + LDAP
Texte supprimé. Texte ajouté.
Ligne 8: Ligne 8:
 * SSH : `host/hostname@REALM` (via GSSAPI)  * [[/SSH]] : `host/hostname@REALM` (via GSSAPI)
Ligne 11: Ligne 11:
 * SMTP :  * SMTP : `smtp/hostname@REALM` (via SASL+GSSAPI)
Ligne 15: Ligne 15:
 * LDAP : `ldap/hostname@REALM`
Ligne 20: Ligne 21:
 * côté client : krb5-user libpam-krb5 krb5-auth-dialog  . (!) lancer un `dpkg-reconfigure krb5-config` pour activer l'utilisation des entrées SRV (désactivée par défaut)
 * côté client : krb5-user libpam-krb5 libsasl2-modules-gssapi-mit krb5-auth-dialog
Ligne 25: Ligne 27:
 * saslauthd (/etc/default/saslauthd) : mettre `kerberos5` devant `pam` bloque l'authentification SMTP PAM ?  * --(saslauthd (/etc/default/saslauthd) : mettre `kerberos5` devant `pam` bloque l'authentification SMTP PAM ? )-- utilisation de Dovecot-SASL à la place

Quelques notes prises lors d'un « vieux » test (vers la mi-2007) d'installation et utilisation de Kerberos. -- ProgFou

Objectifs

Une authentification unifiée et sécurisée.

Idées

Cela concernera les services suivants (au moins) :

  • /SSH : host/hostname@REALM (via GSSAPI)

  • NFS : nfs/hostname@REALM

  • Samba :

  • SMTP : smtp/hostname@REALM (via SASL+GSSAPI)

  • /Dovecot : imap/hostname@REALM et pop/hostname@REALM

  • Apache : HTTP/hostname@REALM

  • ProFTPd : ftp/hostname@REALM

  • LDAP : ldap/hostname@REALM

Évaluer l'intérêt du projet heimdal par rapport au krb5 du MIT.

Installation

  • côté service (KDC) : krb5-user krb5-kdc krb5-admin-server

  • (!) lancer un dpkg-reconfigure krb5-config pour activer l'utilisation des entrées SRV (désactivée par défaut)

  • côté client : krb5-user libpam-krb5 libsasl2-modules-gssapi-mit krb5-auth-dialog
  • côté serveur : krb5-user libpam-krb5 libsasl2-modules-gssapi-mit

  • entrées SRV dans le DNS

Problèmes rencontrés et question en suspens

  • saslauthd (/etc/default/saslauthd) : mettre kerberos5 devant pam bloque l'authentification SMTP PAM ? utilisation de Dovecot-SASL à la place

  • dovecot (/etc/dovecot/dovecot.conf) : activer gssapi, même après plain, bloque Horde ? seulement avec PHP4, pas avec PHP5, ahem...

  • dovecot (/etc/dovecot/dovecot.conf) : activer auth_default_realm bloque tout ? apparemment ça change aussi le domaine utilisateur, donc pas échec du login ; mais pas besoin de ça en fait

  • nfs (/etc/default/nfs-kernel/server) : on ne peut avoir SVCGSSD et MOUNTD en même temps ?

  • nfs (/etc/exports) : peut-on avoir des exports krb5 en même temps que classique ? apparemment oui, à tester...

Documentations

JeanChristopheAndré/Notes/Kerberos (dernière édition le 2011-01-14 11:56:33 par JeanChristopheAndré)