Suporte ao Utilizador Direção de Serviços de Informática

Formulário de Pesquisa
Mocho, símbolo do conhecimento

Instalação e configuração do Kerberos em Linux

Sobre este conteúdo de ajuda

Sobre este conteúdo de ajuda

Este conteúdo destina-se a
  • Alunos
  • Bolseiros
  • Docentes
  • Administradores
com o(s) objetivo(s) de

Explicitar o procedimento a seguir para configurar e utilizar o Kerberos em Linux (Ubuntu, Debian ou similares)

descrito pelas palavras-chave
  • autenticação
  • debian
  • kerberos
  • linux
  • ubuntu
estimando-se que o tempo médio de realização da tarefa seja de

10 min.

E é sobre

Serviço de autenticação

Tipologia → Autenticação Kerberos

Fechar

As instruções que se apresentam destinam-se à configuração e uso de Kerberos em sistemas Linux Ubuntu, Linux Debian ou similares:

Devem estar instalados os pacotes openssh-client e krb5-user (ou heimdal-clients).

Se o utilizador tiver acesso aos comandos ssh e kinit é porque já tem estes pacotes instalados.

Instalação

1

Para instalar os pacotes, executar os seguintes comandos, como root:

>$ apt-get install openssh-client
>$ apt-get install krb5-user

ou sem ser como root:

>$ sudo apt-get install openssh-client
>$ sudo apt-get install krb5-user

O domínio/realm usado pelo Kerberos do IST:

IST.UTL.PT

É esse domínio que deve ser preenchido quando for perguntado pelo domínio default durante a instalação do krb5-user.

2

Caso não se tenha respondido à pergunta (domínio default) durante a instalação, pode fazer-se a autenticação junto do servidor de Kerberos desde que se inclua o nome do domínio a seguir ao nome de utilizador:

>$ kinit istXXXXXX@IST.UTL.PT (as letras no domínio/realm são em maiúsculas)

3

Será pedida a password do Técnico ID, a mesma que é usada para aceder ao e-mail do Técnico ou ao sistema Fénix, por exemplo.

Posteriormente pode ser editado o ficheiro /etc/krb5.conf e preenchido o seguinte campo:

default_realm = IST.UTL.PT (por omissão tem ATHENA.MIT.EDU ou algo similar)

Depois já é possível passar-se a fazer a autenticação com o comando:

>$ kinit istXXXXXX

Pode também ser usado como exemplo o ficheiro /etc/krb5.conf que se encontra disponível nos nós do Sigma. Por exemplo, para copiar este ficheiro para o Desktop:

>$ scp istXXXXXX@sigma.ist.utl.pt:/etc/krb5.conf ~/Desktop/

4
Outros comandos úteis:
  • klist - lista as credenciais obtidas do servidor de Kerberos.
  • kdestroy - faz logout do servidor de kerberos (na realidade apaga o ticket emitido pelo servidor).

A autenticação obtida no servidor de kerberos é válida por 10 horas, por omissão. É possível especificar outros valores usando as opções do comando kinit. Também é possível renovar o ticket usando a opção -R sem colocar de novo a password, por um período de até uma semana. Para mais informações:

>$ man kinit

5

Se o Kerberos estiver a funcionar corretamente é possível ligar aos nós do Sigma sem password enquanto o ticket estiver válido:

ssh istXXXXXX@sigma01

Nota:

A autenticação Kerberos não funciona se se ligar ao Sigma genérico, somente para sigma01, etc...

6

Para não se ter de especificar o utilizador de cada vez que se liga por ssh é possível criar o seguinte ficheiro no PC:

$HOME/.ssh/config

com o seguinte conteúdo:

Host ss01
HostName sigma01.ist.utl.pt
Port 22
User istXXXXXX

Host ss02
HostName sigma02.ist.utl.pt
Port 22
User istXXXXXX

E depois pode simplesmente fazer-se:

>$ ssh ss01
>$ ssh ss02

Este conteúdo ajudou na resolução do meu problema.

Contacte-nos... nós resolvemos!