Instalação e configuração do Kerberos em Linux
Sobre este conteúdo de ajuda
Este conteúdo destina-se a
- Alunos
- Bolseiros
- Docentes
- Administradores
com o(s) objetivo(s) de
Explicitar o procedimento a seguir para configurar e utilizar o Kerberos em Linux (Ubuntu, Debian ou similares)
descrito pelas palavras-chave
estimando-se que o tempo médio de realização da tarefa seja de
10 min.
E é sobre
Serviço de autenticação
Tipologia → Autenticação Kerberos
As instruções que se apresentam destinam-se à configuração e uso de Kerberos em sistemas Linux Ubuntu, Linux Debian ou similares:
Devem estar instalados os pacotes openssh-client e krb5-user (ou heimdal-clients).
Se o utilizador tiver acesso aos comandos ssh e kinit é porque já tem estes pacotes instalados.
Instalação
1
Para instalar os pacotes, executar os seguintes comandos, como root:
>$ apt-get install openssh-client
>$ apt-get install krb5-user
ou sem ser como root:
>$ sudo apt-get install openssh-client
>$ sudo apt-get install krb5-user
O domínio/realm usado pelo Kerberos do IST:
IST.UTL.PT
É esse domínio que deve ser preenchido quando for perguntado pelo domínio default durante a instalação do krb5-user.
2
Caso não se tenha respondido à pergunta (domínio default) durante a instalação, pode fazer-se a autenticação junto do servidor de Kerberos desde que se inclua o nome do domínio a seguir ao nome de utilizador:
>$ kinit istXXXXXX@IST.UTL.PT (as letras no domínio/realm são em maiúsculas)
3
Será pedida a password do Técnico ID, a mesma que é usada para aceder ao e-mail do Técnico ou ao sistema Fénix, por exemplo.
Posteriormente pode ser editado o ficheiro /etc/krb5.conf e preenchido o seguinte campo:
default_realm = IST.UTL.PT (por omissão tem ATHENA.MIT.EDU ou algo similar)
Depois já é possível passar-se a fazer a autenticação com o comando:
>$ kinit istXXXXXX
Pode também ser usado como exemplo o ficheiro /etc/krb5.conf que se encontra disponível nos nós do Sigma. Por exemplo, para copiar este ficheiro para o Desktop:
>$ scp istXXXXXX@sigma.ist.utl.pt:/etc/krb5.conf ~/Desktop/
4
Outros comandos úteis:
- klist - lista as credenciais obtidas do servidor de Kerberos.
- kdestroy - faz logout do servidor de kerberos (na realidade apaga o ticket emitido pelo servidor).
A autenticação obtida no servidor de kerberos é válida por 10 horas, por omissão. É possível especificar outros valores usando as opções do comando kinit. Também é possível renovar o ticket usando a opção -R sem colocar de novo a password, por um período de até uma semana. Para mais informações:
>$ man kinit
5
Se o Kerberos estiver a funcionar corretamente é possível ligar aos nós do Sigma sem password enquanto o ticket estiver válido:
ssh istXXXXXX@sigma01
Nota:
A autenticação Kerberos não funciona se se ligar ao Sigma genérico, somente para sigma01, etc...
6
Para não se ter de especificar o utilizador de cada vez que se liga por ssh é possível criar o seguinte ficheiro no PC:
$HOME/.ssh/config
com o seguinte conteúdo:
Host ss01
HostName sigma01.ist.utl.pt
Port 22
User istXXXXXX
Host ss02
HostName sigma02.ist.utl.pt
Port 22
User istXXXXXX
E depois pode simplesmente fazer-se:
>$ ssh ss01
>$ ssh ss02
Contacte-nos... nós resolvemos!