Configuring Kerberos Client

Istruzioni di configurazione per i terminali degli utenti

• Introduzione a Kerberos
• installare i pacchetti kerberos per il proprio sistema
  • Linux: Installare i pacchetti krb5-workstation krb5-libs krb5-auth-dialog (per le nuove versioni Ubuntu – libkrb5 e krb5-user)
  • Windows :
    • A) INSTALLAZIONE KfW 4.1 https://web.mit.edu/kerberos/dist/
      link diretto: https://kerberos.org/dist/kfw/4.1/kfw-4.1-amd64.msi
      Riavviare
    • B) Copiare il file krb5.ini in C:\ProgramData\MIT\Kerberos5
    • C) Configurazione PuTTY + KfW 4.1
      • Scarica PuTTY ufficiale (0.81+ per GSSAPI stabile) da https://putty.org link diretto: https://the.earth.li/~sgtatham/putty/latest/w64/putty-64bit-0.83-installer.msi
      • Avvia PuTTY → Connection → SSH → Auth:
        • Spunta “Attempt GSSAPI authentication (SSH-2)”
        • Spunta “Allow GSSAPI credential delegation” (per forwarding)
      • Connection → Data:
        • Auto-login username: tuo_utente
      • Session:
        • Host Name: fqdn.esatto.del.server
        • Saved Sessions: salva come “ServerKerberos”
      • Collega → usa ticket KfW automaticamente (request ticket da KfW)
  • MacOS: Kerberos for Macintosh Modifica del file file /etc/ssh_config aggiunta delle righe GSSAPIAuthentication yes GSSAPIKeyExchange yes

Altre distribuzioni: Distribution Page

• specificare, nel file /etc/krb5.conf, le impostazioni del realm usato (il modo piu’ semplice e’ copiare sulla propria macchina in /etc questo file.)
• specificare, nel file di configurazione ssh /etc/ssh/ssh_config per Linux, ssh_config per Windows, /etc/ssh_config per Mac
  • GSSAPIAuthentication yes , questo indica ad ssh di usare Kerberos per l’autenticazione
  • GSSAPIDelegateCredentials yes , questo specifica che l’utente “si porta dietro il ticket”, cioe’ puo’ accedere ad altre macchine/servizi dal server ssh senza richeidere nuovi ticket

Istruzioni d’uso dei servizi kerberizzati per i terminali degli utenti

• accertarsi che i file di configurazione del servizio che si vuole utilissare (es. ssh) siano impostati correttamente
• chiedere un ticket al server kerberos: kinit nome_utente
  • verificare che il tichet esista: klist
• usare il servizio (es. ssh nome_utente@host.cs.infn.it). Non viene richiesta alcuna password. E’ il normale funzionamento di kerberos
• In uscita dalla sessione ssh si può cancellare il ticket con kdestroy -A. Questo può servire ad impedire la connesione ssh senza password dal proprio terminale fino ad un’ulteriore rinnovo del ticket (con kinit nome_utente).

Fonti e link

Kerberos and SSH

RHEL Server Configuration

RHEL Client Configuration

Kerberos at Cern

Kerberos INFN Guide

Using Kerberos Guide