| Sommaire |
|---|
Authentification
Configurer l'authentification des utilisateurs avec system-config-authentication :
- User information : Enable LDAP support, LDAP search base DN : ou=people,dc=univ-rennes1,dc=fr, LDAP server : ldap://ldapglobal.univ-rennes1.fr
- Authentication : Enable Kerberos support, Realm : UNIV-RENNES1.FR, KDCs : kerb1.univ-rennes1.fr:88, Admin servers : kerb1.univ-rennes1.fr:749
- sur les gentoo de l'IFSIC : il faut installer les paquets mit-krb5 et pam_krb5 et au final le fichier /etc/pam.d/system-auth doit avoir l'allure suivante :
Bloc de code auth required pam_env.so auth sufficient pam_unix.so likeauth nullok auth sufficient pam_krb5.so try_first_pass auth required pam_deny.so account required pam_unix.so broken_shadow account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 500 quiet account [default=bad success=ok user_unknown=ignore] pam_krb5.so account required pam_permit.so password required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3 password sufficient pam_unix.so nullok md5 shadow use_authtok password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so session optional pam_krb5.so
Configuration Kerberos
Vérifier le fichier /etc/krb5.conf :
| Bloc de code |
|---|
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = UNIV-RENNES1.FR
ticket_lifetime = 24h
forwardable = yes
[realms]
UNIV-RENNES1.FR = {
kdc = kerb1.univ-rennes1.fr:88
kdc = kerb2.univ-rennes1.fr:88
admin_server = kerb1.univ-rennes1.fr:749
default_domain = univ-rennes1.fr
}
[domain_realm]
.univ-rennes1.fr = UNIV-RENNES1.FR
univ-rennes1.fr = UNIV-RENNES1.FR
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
} |
Créer le principal du client sous kadmin (depuis le client) et générer stocker la clé localement (dans /etc/krb5.keytab) :
| Bloc de code |
|---|
[root@clinux log]# kadmin Authenticating as principal root/admin@UNIV-RENNES1.FR with password. Password for root/admin@UNIV-RENNES1.FR: kadmin: addprinc -randkey host/clinux.ifsic.univ-rennes1.fr WARNING: no policy specified for host/clinux.ifsic.univ-rennes1.fr@UNIV-RENNES1.FR; defaulting to no policy Principal "host/clinux.ifsic.univ-rennes1.fr@UNIV-RENNES1.FR" created. kadmin: ktadd -k /etc/krb5.keytab host/clinux.ifsic.univ-rennes1.fr Entry for principal host/clinux.ifsic.univ-rennes1.fr with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5.keytab. Entry for principal host/clinux.ifsic.univ-rennes1.fr with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5.keytab. Entry for principal host/clinux.ifsic.univ-rennes1.fr with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5.keytab. Entry for principal host/clinux.ifsic.univ-rennes1.fr with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5.keytab. Entry for principal host/clinux.ifsic.univ-rennes1.fr with kvno 3, encryption type DES with HMAC/sha1 added to keytab WRFILE:/etc/krb5.keytab. Entry for principal host/clinux.ifsic.univ-rennes1.fr with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5.keytab. kadmin: exit [root@clinux log]# |
Le shell des utilisateurs est renvoyé par l'attribut loginShell de l'annuaire LDAP. Si le shell des utilisateurs n'est pas installé, il faut alors l'installer (par exemple yum install csh).
Vérification de l'authentification des utilisateurs :
| Bloc de code |
|---|
[root@clinux ~]# su - paubry su: warning: cannot change directory to /private/staff/y/ry/paubry: No such file or directory id: cannot find name for group ID 20857 su: /bin/csh: No such file or directory [paubry@clinux ~]$ exit logout [root@clinux log]# |
Monter les homedirs des utilisateurs en ajoutant dans /etc/fstab les lignes suivantes :
| Bloc de code |
|---|
sf1ifsic:/vol/vol1/private/student /private/student nfs exec,nolock,dev,suid,rw,rsize=8192,wsize=8192 1 1 sf1ifsic:/vol/vol2/private/staff /private/staff nfs exec,nolock,dev,suid,rw,rsize=8192,wsize=8192 1 1 |
Créer puis monter les répertoires d'accueil :
| Bloc de code |
|---|
[root@clinux ~]# [root@clinux ~]# cd / [root@clinux /]# mkdir -p /private/staff [root@clinux /]# mkdir -p /private/student [root@clinux /]# mount -a [root@clinux /]# mount [...] sf1ifsic:/vol/vol1/private/student on /private/student type nfs (rw,nolock,rsize=8192,wsize=8192,addr=148.60.4.42) sf1ifsic:/vol/vol2/private/staff on /private/staff type nfs (rw,nolock,rsize=8192,wsize=8192,addr=148.60.4.42) [root@clinux /]# |
Ajouter si nécessaire le groupe des utilisateurs en local en ajoutant dans le fichier /etc/group :
| Bloc de code |
|---|
staff:x:20857: |
Enfin vérifier à nouveau le login des utilisateurs :
| Bloc de code |
|---|
[root@clinux ~]# su - paubry [paubry@clinux ~]$ exit logout [root@clinux ~]# |
Configuration Firefox
Pour que l'authentification Kerberos soit propagée par Firefox, une petite configuration est nécessaire comme indiqué sur cette page : Configuration de Firefox pour le SSO.