O ssh kerberizado (gssapi-with-mic) é possível sem acesso ao KDC ou admin do domínio?

1

Estou trabalhando em um ambiente de domínio, atendido pelo Active Directory em um host do Windows 2008. Eu sou um "usuário de domínio" regular, sem privilégios especiais e não será capaz de obter qualquer.

Ao tentar configurar meu próprio sistema Linux para efetuar login via ssh com kerberos, encontrei um obstáculo: não posso adicionar um principal do formulário: host / @ DOMAIN

O que me leva à pergunta: há alguma maneira de contornar isso para obter a funcionalidade de logon único (SSO)?

Se não, existe algum outro mecanismo para realizar o SSO? (Eu estou supondo que isso exigiria configurar meu próprio KDC interno).

    
por Garen 30.04.2012 / 14:47

1 resposta

2

Você precisa unir a máquina linux ao AD, para que a conta da máquina e uma chave associada sejam criadas. net ads join do pacote do Samba é uma maneira fácil de fazer isso. Eu acho que esta é a parte (apenas) que você precisa de privilégios de administrador do AD. Em seguida, você pode preencher o keytab com SPNs; Adicionar um registro do SPN à conta da máquina requer apenas o privilégio "Validar gravação no SPN".

Existe uma maneira de mapear SPNs (e entradas keytab) mapeadas para contas de domínio arbitrárias usando ktpass.exe utility, mas isso certamente requer acesso ao controlador de domínio com privilégios administrativos.

Sem isso, você não poderá usar o AD como seu território do Kerberos. Existem outras opções como - como você sugeriu - configurar um ambiente Kerberos paralelo com o próprio KDC, o que envolveria também a configuração de todos os serviços que você deseja oferecer suporte a esse domínio.

O Kerberos não é o único pensamento da opção SSO. Um armazenamento criptografado de chave / senha integrada como o KWallet ou Apple Keychain pode fornecer uma sensação de SSO ainda melhor, embora exija configuração zero.

Espero que isso ajude.

    
por 01.05.2012 / 12:28