Universitätsrechenzentrum






  • Anmelden

Kerberos-Konfiguration von Linux-/Unix-Systemen

Wenn Sie ein Linux-/Unix-System so einstellen wollen, dass es die Kerberos-Installation der TU Chemnitz benutzt, dann finden Sie hier die entsprechenden Hinweise ...

Basiseinstellungen

Die Datei /etc/krb5.conf enthält alle Einstellungen. Das Format der Datei ist unabhängig davon, ob Sie die Heimdal- oder MIT-Kerberos-Implemenatation benutzen.

Sie können sich einfach die Datei /etc/krb5.conf von einer beliebigen Linux-Maschine des URZ kopieren, wenn Sie keine anderen Kerberos-Realms benutzen wollen.

Alternativ können Sie auch die folgenden Einstellungen in /etc/krb5.conf vornehmen: 

[libdefaults]
  default_realm = TU-CHEMNITZ.DE
  dns_lookup_realm = false
  dns_lookup_kdc = true
  ticket_lifetime = 2592000s
  renew_lifetime  = 2592000s
  forwardable = true
  proxiable = true

[realms]
  TU-CHEMNITZ.DE = {
    kdc = kerberos.tu-chemnitz.de
    kdc = kerberos-1.tu-chemnitz.de
    kdc = kerberos-2.tu-chemnitz.de
    admin_server = kerberos.tu-chemnitz.de
    default_domain = tu-chemnitz.de
    krb4_get_tickets = false
    v4_name_convert = {
      host = {
        rcmd = host
        ftp = ftp
        imap = imap
        pop = pop
      }
    }
  }

[domain_realm]
  .tu-chemnitz.de = TU-CHEMNITZ.DE

PAM-Konfiguration

Zur Integration von Kerberos in verschiedene Applikationen können Sie den PAM-Modul pam_krb5 benutzen. Er ist für fast alle Linux-Distributionen verfügbar.

Ausführliche Hinweise zur Benutzung von PAM finden Sie in den Unterlagen zum Kurs PAM: Konfiguration von Authentisierungsverfahren .

Weiterführende Kerberos-Integration

Soll Ihr Rechner selbst Services anbieten, die auf Basis der Kerberos-Authentisierung genutzt werden können, müssen für diese Dienste Kerberos-Principals angelegt werden.

Am ehesten wünschenswert ist das für SSH, damit sich Benutzer auf Basis Ihres Kerberos-TGT an Ihrem Rechner anmelden können, ohne Ihr Passwort eingeben zu müssen und dabei auch transparent ein AFS-Token erhalten. Voraussetzung dafür ist ein sog. Host-Principal für Ihre Maschine.

Auftragsformular: Kerberos-Integration für einen Host (Host-Principal einrichten)

Möchten Sie Principals für andere Dienste einrichten lassen, so wenden Sie sich bitte an den Helpdesk.