Quelques notes prises lors d'un « vieux » test (vers la mi-2007) d'installation et utilisation de Kerberos. -- ProgFou === Objectifs === Une authentification unifiée et sécurisée. === Idées === Cela concernera les services suivants (au moins) : * [[/SSH]] : `host/hostname@REALM` (via GSSAPI) * NFS : `nfs/hostname@REALM` * Samba : * SMTP : `smtp/hostname@REALM` (via SASL+GSSAPI) * [[/Dovecot]] : `imap/hostname@REALM` et `pop/hostname@REALM` * Apache : `HTTP/hostname@REALM` * ProFTPd : `ftp/hostname@REALM` * LDAP : `ldap/hostname@REALM` Évaluer l'intérêt du projet heimdal par rapport au krb5 du MIT. === Installation === * côté service (KDC) : krb5-user krb5-kdc krb5-admin-server . (!) lancer un `dpkg-reconfigure krb5-config` pour activer l'utilisation des entrées SRV (désactivée par défaut) * côté client : krb5-user libpam-krb5 libsasl2-modules-gssapi-mit krb5-auth-dialog * côté serveur : krb5-user libpam-krb5 libsasl2-modules-gssapi-mit * [[/DNS|entrées SRV dans le DNS]] === Problèmes rencontrés et question en suspens === * --(saslauthd (/etc/default/saslauthd) : mettre `kerberos5` devant `pam` bloque l'authentification SMTP PAM ? )-- utilisation de Dovecot-SASL à la place * --(dovecot (/etc/dovecot/dovecot.conf) : activer `gssapi`, même après `plain`, bloque Horde ? seulement avec PHP4, pas avec PHP5, ahem...)-- * --(dovecot (/etc/dovecot/dovecot.conf) : activer auth_default_realm bloque tout ? apparemment ça change aussi le domaine utilisateur, donc pas échec du login ; mais pas besoin de ça en fait)-- * nfs (/etc/default/nfs-kernel/server) : on ne peut avoir `SVCGSSD` et `MOUNTD` en même temps ? * nfs (/etc/exports) : peut-on avoir des exports krb5 en même temps que classique ? apparemment [[http://help.ubuntu.com/community/NFSv4Howto#head-aa2dbf0f90cbb4fa858dd54da48a734244ca6839-2|oui]], à tester... === Documentations === * https://wiki.ubuntu.com/NetworkAuthentication/KerberizeServices * http://help.ubuntu.com/community/SingleSignOn * http://help.ubuntu.com/community/NFSv4Howto * http://www.freesoftwaremagazine.com/blogs/kerberos_authenticating_on_the_network * http://www.freesoftwaremagazine.com/blogs/securing_nfs * http://www.freesoftwaremagazine.com/blogs/kerberos_final_bits