Версия от 01:24, 6 августа 2017

Журнал ALT-review

Annotation::Аутентификация в сервисах с использованием билетов Kerberos

Раздел: Section::практика Тег: Tag::kerberos,домен,приложения

На этой странице приводится пример использование билетов Kerberos в различных программах для подключения к сервисам.

Браузеры

Навигация
Главная: ALT-review
Все статьи
Предложения и пожелания
Ресурсы
FAQ

Chromium

$ chromium --auth-server-whitelist="*.example.com,*.etersoft.ru"

Для того, чтобы настройки применялись общесистемно:

/etc/chromium/default
@@ -5,6 +5,8 @@
 # Default:
 CHROMIUM_FLAGS="--enable-seccomp-sandbox"
 
+CHROMIUM_FLAGS="$CHROMIUM_FLAGS  --auth-server-whitelist=*.etersoft.ru,*.eterhost.ru"
+

Должен быть ещё способ задания настроек по умолчанию на уровне пользователя.

curl

$ kinit
$ curl --negotiate -u : "http://example.com"

Firefox

Добавить в about:config в firefox

network.negotiate-auth.delegation-uris .etersoft.ru
network.negotiate-auth.trusted-uris    .etersoft.ru

IE

Добавить в доверенные сайты

https://ping.force.com/Support/PingFederate/Integrations/How-to-configure-supported-browsers-for-Kerberos-NTLM

Файловые системы

Монтирование CIFS-ресурса

# kinit
# mount -o sec=krb5 //SERVER/share /mnt/share

Не ясным остаётся вопрос с

$ kinit
$ sudo mount ...

(тикет перестаёт быть доступен после повышения привилегий)

Прочее

ssh

Просто подключаемся к ssh-серверу, настроив его (см. ниже настройку sshd)

Подключение к LDAP

Домен/GSSAPI

Windows

> klist purge

Серверная сторона

nginx

Apache

epmi apache2-mod_auth_kerb /usr/bin/kinit
a2enmod auth_krb5 && serv httpd2 reload

положил тикет с SPN

добавил такие настройки:

      AuthType Kerberos
      AuthName "Please enter your login and password for ETERSOFT.RU"
      KrbMethodNegotiate on
      KrbMethodK5Passwd on
      KrbServiceName HTTP/time.office.etersoft.ru@ETERSOFT.RU
      KrbAuthRealms ETERSOFT.RU
      Krb5Keytab /etc/krb5.time.office.keytab
      #KrbLocalUserMapping On

sshd

Для разрешения подключаться, используя билет Kerberos:

GSSAPIAuthentication yes

Если хотим, чтобы билеты проследовали за нами на удалённую сторону:

GSSAPICleanupCredentials yes

По неизвестной причине параметры Kerberos* трогать не нужно

RunaWFE

http://www.runawfe.org/rus/doc/KerberosAuthentication

Домен

Centaurus: Бездисковый клиент • Centaurus: домен • ActiveDirectory/DC • ActiveDirectory/FileShare • Домен/GSSAPI • Gvfs-shares • Домен/Kerberos • Домен/LDAP • ActiveDirectory/Login • Домен/Windows/Manual • NFS сервер с Kerberos авторизацией • Samba/Fileserver/AD-auth • SambaADClient и клонирование диска • SambaDC/Squid • Thunderbird • Домен/TODO • Домен/Windows • Ввод в домен на базе Windows 2003 • Домен на openldap (устаревшее) • Домен/Использование Kerberos • Домен/Планы • Дополнительные серверы и member-сервисы в домене ALT Linux • Работа домена Centaurus с несколькими подсетями • Домен/Решение проблем • Домен/Скрипты • Домен/Состав

@@ Строка 15: / Строка 15: @@
 На этой странице приводится пример использование билетов Kerberos в различных программах для подключения к сервисам.
+= Браузеры =
 == Chromium ==
   $ chromium --auth-server-whitelist="*.example.com,*.etersoft.ru"
@@ Строка 51: / Строка 51: @@
 https://ping.force.com/Support/PingFederate/Integrations/How-to-configure-supported-browsers-for-Kerberos-NTLM
+= Файловые системы =
 == Монтирование CIFS-ресурса ==
@@ Строка 60: / Строка 62: @@
   $ sudo mount ...
 (тикет перестаёт быть доступен после повышения привилегий)
+= Прочее =
 == ssh ==
@@ Строка 79: / Строка 83: @@
 * [[Создание SPN и Keytab файла]]
 * [[Nginx/AD-auth]]
+== Apache ==
+# epmi apache2-mod_auth_kerb /usr/bin/kinit
+# a2enmod auth_krb5 && serv httpd2 reload
+положил тикет с SPN
+добавил такие настройки:
+       AuthType Kerberos
+       AuthName "Please enter your login and password for ETERSOFT.RU"
+       KrbMethodNegotiate on
+       KrbMethodK5Passwd on
+       KrbServiceName HTTP/time.office.etersoft.ru@ETERSOFT.RU
+       KrbAuthRealms ETERSOFT.RU
+       Krb5Keytab /etc/krb5.time.office.keytab
+       #KrbLocalUserMapping On
 == sshd ==

Домен/Использование Kerberos: различия между версиями