PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Kerberos Authentifizierung nur mit root



jfried
21.04.06, 14:08
Hallo,

ich habe hier einen Kerberos (MIT) Server (Protokoll 4 und 5) installiert der auch soweit ganz gut funktioniert.
Ich kann mich auch mit den Clients authentifizieren allerdings bekomme ich ~nur~ als root ein Ticket zugewiesen.



jfried@jan 13:56 jfried$ ssh root@192.168.0.16
Password for root@EGOTEC.NET:
Last login: Fri Apr 21 12:30:55 2006 from 192.168.0.21
kiwano:~# klist
Ticket cache: FILE:/tmp/krb5cc_0_e1iygo
Default principal: root@EGOTEC.NET

Valid starting Expires Service principal
04/21/06 13:56:20 04/21/06 23:56:18 krbtgt/EGOTEC.NET@EGOTEC.NET


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
kiwano:~#


Wenn ich mich jetzt allerdings mit einem anderen Benutzer anmelde bekomme ich kein Ticket:



jfried@jan 14:04 jfried$ ssh jan@192.168.0.16
Password for jan@EGOTEC.NET:
Linux kiwano 2.6.8-2-386 #1 Tue Aug 16 12:46:35 UTC 2005 i686 GNU/Linux

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.

Last login: Fri Apr 21 12:15:26 2006 from 192.168.0.21
jan@kiwano:~$ klist
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_1002)


Kerberos 4 ticket cache: /tmp/tkt1002
klist: You have no tickets cached
jan@kiwano:~$



Meine pam einstellungen sehen wie folgt aus:



kiwano:~# cat /etc/pam.d/common-auth
auth sufficient pam_krb5.so forwardable
auth required pam_unix.so nullok_secure


und



kiwano:~# cat /etc/pam.d/common-password
password sufficient pam_krb5.so use_authtok
password sufficient pam_unix.so nullok obscure min=4 max=8 md5


in der Datei /etc/login.defs habe ich noch folgendes gesetzt:



#
# Enable pam_close_session() calling. When using normal (pam_unix.so)
# session handling modules, this is not needed. However with modules
# (such as kerberos or other persistent session models), login and su
# need to fork and wait for the shell to exit so that sessions can be
# cleaned up.
#
CLOSE_SESSIONS yes



Server-System: Debian Sarge
Client-System: Debian Sarge

jfried
21.04.06, 15:43
Ok, das Problem ist gelöst!

Ich musste in meiner PAM Konfiguration noch folgendes anpassen:

common-session:
session sufficient pam_krb5.so forwardable


common-account:
account sufficient pam_krb5.so forwardable

Gruss
jfried