Re: Kerberos
- From
- Victor Sudakov (2:5020/400)
- To
- Alexey Korobkin
- Date
- 2006-01-16T19:17:42Z
- Area
- RU.UNIX.SOLARIS
From: Victor Sudakov <vas@mpeks.tomsk.su>
Alexey Korobkin wrote:
>
> VS>>> А есть ли способ потом, уже в процессе эксплуатации, этот Kerberos
> VS>>> security таки добавить?
>>> Да просто krb пакеты добавить, и настроить по мануалу:
>>> http://docs.sun.com/app/docs/doc/816-4557/6maosrjk5?a=view
>
> VS> Как узнать, какие нужны пакеты? Очевидно, нужны библиотеки Kerberos и
> VS> слинкованный с ними sshd.
>
> Если KDC не будет, то нужны SUNWkrb* и SUNWgss* с зависимостями.
Ясно. KDC на FreeBSD, в перспективе возможно будет перенесен на винду.
>
> VS> Сейчас стоит SUNWssh*, но в нем нет упоминания про Kerberos даже в
> VS> конфигах.
>
> У меня и /usr/lib/ssh/sshd, и /usr/bin/ssh слинкованы с
> /usr/lib/libgss.so.1.
> Правда, это полная установка, всё сразу поставлено. В неполной не так?
$ldd /usr/lib/ssh/sshd
libsocket.so.1 => /usr/lib/libsocket.so.1
libnsl.so.1 => /usr/lib/libnsl.so.1
libz.so.1 => /usr/lib/libz.so.1
libpam.so.1 => /usr/lib/libpam.so.1
libbsm.so.1 => /usr/lib/libbsm.so.1
libmd5.so.1 => /usr/lib/libmd5.so.1
libwrap.so.1 => /usr/sfw/lib/libwrap.so.1
libc.so.1 => /usr/lib/libc.so.1
libdl.so.1 => /usr/lib/libdl.so.1
libmp.so.2 => /usr/lib/libmp.so.2
libcmd.so.1 => /usr/lib/libcmd.so.1
/usr/platform/SUNW,UltraAX-i2/lib/libmd5_psr.so.1
/usr/platform/SUNW,UltraAX-i2/lib/libc_psr.so.1
$
Не наблюдается libgss. Сомневаюсь, что от полноты установки может
зависеть комплектация пакета.
У тебя какая версия Solaris (у меня 9)? Может, это от версии зависит?
А в /etc/ssh/sshd_config у тебя упоминается GSSAPI ?
>
> VS> Нет. Юзеры уже заведены в kdc. Нужно только пустить их на солярку
> VS> методом GSSAPI в ssh (ssh называет его gssapi-with-mic).
>
> Сам я gssapi не настраивал, но вот мануал как раз про это :)
> http://docs.sun.com/app/docs/doc/816-4557/6maosrjju?a=view#sshref-15
По-хорошему там настраивать нечего, в FreeBSD всё сводится к
раскомментированию двух строчек в конфиге sshd и копированию keytab.
--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
2:5005/49@fidonet http://vas.tomsk.ru/
--- ifmail v.2.15dev5.3
* Origin: AO "Svyaztransneft", SibPTUS (2:5020/400)
SEEN-BY: 46/50 50/203 520 450/159 186 1024 451/30 461/640 469/999 4625/8
SEEN-BY: 4627/10 5000/76 5000 5001/5001 5006/1 5007/1 5010/70 5011/13 5012/46
SEEN-BY: 5015/10 28 5020/118 175 194 400 545 715 758 830 902 937 1042 1169
SEEN-BY: 5020/1523 1604 1922 2020 2238 4441 5021/29 5022/128 5025/3 750
SEEN-BY: 5026/45 5027/12 5030/49 115 436 556 966 1900 1957 5031/47 72 5035/3
SEEN-BY: 5035/38 5036/1 5040/47 5045/7 5051/15 5053/16 5054/1 4 8 9 28 35 37
SEEN-BY: 5057/1 5060/88 5061/15 120 5062/1 10 5066/18 5067/2 5069/7 5070/1222
SEEN-BY: 5074/9 5075/5 5080/80 1003 5081/2 5082/6 5083/21 5085/13 5090/113
SEEN-BY: 5093/57 5095/20 5096/18 6000/254 6001/3
PATH: 5020/400 4441 545 5054/1 37