CAS et Kerberos
Pages enfant
  • Installation et configuration du serveur Kerberos (archive)

Comparaison des versions

Ancienne version 8

changes.mady.by.user Pascal Aubry

Sauvegardée le

comparé à

Nouvelle version Actuel

changes.mady.by.user Pascal Aubry

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.
Commentaire: Migrated to Confluence 5.3
Sommaire

Installation système

Boot sur CD Fedora 10 puis upgrade vers Fedora 12.

  • FQDN : kerb.ifsic.univ-rennes1.fr
  • IP : 148.60.10.50

...

  • Servers -> Network servers -> kerb5-server

Configuration SELinux

Pour éviter de se prendre la tête lors de l'utilisation des utilitaires de configuration modifiant les fichiers système, on passe SELinux en mode permissif par la commande :

...

dans le fichier /etc/selinux/config (ou bien simplement SELINUX=permissive).

Configuration Kerberos

Modification de quelques fichiers de configuration pour créer le royaume UNIV-RENNES1.FR.

/etc/krb5.conf

Bloc de code
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = UNIV-RENNES1.FR
 default_etypes = des3-hmac-sha1 des-cbc-crc
 default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
 default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
 permitted_enctypes = des3-hmac-sha1 des-cbc-crc rc4-hmac
 ticket_lifetime = 24h
 forwardable = yes

[realms]
 UNIV-RENNES1.FR = {
  kdc = kerb.ifsic.univ-rennes1.fr:88
  admin_server = kerb.ifsic.univ-rennes1.fr:749
  default_domain = univ-rennes1.fr
 }

[domain_realm]
 .univ-rennes1.fr = UNIV-RENNES1.FR
 univ-rennes1.fr = UNIV-RENNES1.FR

[appdefaults]
 pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
 }

...

Bloc de code
[root@kerb ~]# kadmin
Authenticating as principal root/admin@UNIV-RENNES1.FR with password.
Password for root/admin@UNIV-RENNES1.FR:
kadmin:  listprincs
K/M@UNIV-RENNES1.FR
kadmin/admin@UNIV-RENNES1.FR
kadmin/changepw@UNIV-RENNES1.FR
kadmin/history@UNIV-RENNES1.FR
kadmin/kerb.ifsic.univ-rennes1.fr@UNIV-RENNES1.FR
krbtgt/UNIV-RENNES1.FR@UNIV-RENNES1.FR
root/admin@UNIV-RENNES1.FR
kadmin:  exit
[root@kerb ~]#

Si à cette étape kadmin affiche le message d'erreur Cannot contact any KDC for requested realm while initializing kadmin interface, cela signifie que le serveur ne se trouve pas lui-même comme KDC et il faut vérifier sa configuration réseau.

...

Bloc de code
[root@kerb ~]# kadmin
Authenticating as principal root/admin@UNIV-RENNES1.FR with password.
Password for root/admin@UNIV-RENNES1.FR:
kadmin:  addprinc paubry
WARNING: no policy specified for paubry@UNIV-RENNES1.FR; defaulting to no policy
Enter password for principal "paubry@UNIV-RENNES1.FR":
Re-enter password for principal "paubry@UNIV-RENNES1.FR":
Principal "paubry@UNIV-RENNES1.FR" created.
kadmin:  exit
[root@kerb ~]#

Configuration Firewall

Exécuter system-config-firewall et ouvrir les ports entrants suivants :

  • 88 (pour kinit)
  • 749 (pour les changements de mot de passe)
  • 750 (pour l'authentification)

...