Kerberos e localhost

3

Eu tenho um servidor Kerberos v5 configurado em uma máquina Linux, e ele está funcionando muito bem quando conectado a outros hosts (usando samba, ldap ou ssh), para os quais existem princípios no banco de dados do Kerberos.

Posso usar o kerberos para autenticar no localhost? E se eu puder, existem razões pelas quais eu não deveria? Eu não fiz um kerberos principal para localhost. Eu não acho que deveria; em vez disso, acho que o principal deve resolver para o hostname completo da máquina. Isso é possível?

Eu gostaria idealmente de uma maneira de configurar isso em apenas um servidor (seja kerberos, DNS ou ssh), mas se cada máquina precisar de alguma configuração personalizada, isso também funcionaria.

por exemplo, $ ssh -v localhost

...
debug1: Unspecified GSS failure.  Minor code may provide more information
Server host/[email protected] not found in Kerberos database
...

EDITAR:

Então eu tive um arquivo / etc / hosts ruim. Se bem me lembro, a versão original que eu tenho com o Ubuntu tinha dois 127.0. Endereços IP, algo como: -

127.0.0.1 localhost
127.0.*1*.1 hostname

Por nenhuma boa razão, eu mudei a minha há muito tempo para:

127.0.0.1    localhost
127.0.*0*.1    hostname.example.com hostname

Isso pareceu funcionar bem com tudo, até que experimentei o ssh com kerberos (um esforço recente). De alguma forma, essa configuração levou a sshd a resolver o princípio kerberos da máquina para "host / localhost @ \ n", o que eu acho que faz sentido se usar / etc / hosts para pesquisas de DNS para frente e reverso em preferência a dns externos. Então eu comentei a última linha, e o sshd magicamente começou a autenticar com gssapi-with-mic. Impressionante. (Então eu investiguei o localhost e fiz a pergunta)

    
por Alex Leach 30.05.2012 / 15:53

1 resposta

3

Você pode, usando a canonização de nomes.

Modifique /etc/hosts para que seja semelhante a:

127.0.0.1  hostname.domain.tld hostname localhost
::1        hostname.domain.tld hostname localhost

Desta forma, localhost - > 127.0.0.1 - > hostname.domain.tld, para o qual o servidor possui uma entrada keytab.

Você terá que fazer isso em cada servidor.

    
por 30.05.2012 / 22:52