Получить билет kerberos linux

как автоматически получать билеты керберос при входе в линукс доменным пользователем

как автоматически получать билеты керберос при входе в линукс доменным пользователем? Или подскажите где смотреть . настроил 3 мес. назад по разным мануалам . а теерь не могу припомнить где:(

Re: как автоматически получать билеты керберос при входе в линукс доменным пользователем

Замена login-a на керберизованный?

Re: как автоматически получать билеты керберос при входе в линукс доменным пользователем

по виндовым шарам ходит без паролей и с правами доменного пользователя . которым ключик получает автоматом .

Re: как автоматически получать билеты керберос при входе в линукс доменным пользователем

Не могу понять почему замена. Логинюсь доменным пользователем . но выдаётся свежий ключик керберос. и с ним по шарам по всем серверам без паролей , где можно соответственно . а не только на винлдовом PDC и BDC

Re: как автоматически получать билеты керберос при входе в линукс доменным пользователем

Поставить pam_krb5, добавить его в session часть — будут ключики.

Re: как автоматически получать билеты керберос при входе в линукс доменным пользователем

добавил в system-auth sessions required pam_krb5.so результат нулевой . 🙁

Re: как автоматически получать билеты керберос при входе в линукс доменным пользователем

Re: как автоматически получать билеты керберос при входе в линукс доменным пользователем

Источник

Kerberos

Содержание

Kerberos

Kerberos это система сетевой аутентифиации, основанная на принципах доверия третьей стороне. Другие две стороны — это пользователь и сервис, на котором он хочет авторизоваться. Не все сервисы и приложения могут использовать Kerberos, но те, которые могут, приближают сетевое окружение на один шаг к технологии единого входа (Single Sign On — SSO).

Этот раздел раскрывает установку и настройку сервера Kerberos, а также некоторые примеры клиентских настроек.

Обзор

Если вы новичок в Kerberos, есть несколько терминов, которые хорошо понять до установки сервера Kerberos. Большинство терминов связаны с вещами, которые могут быть вам знакомы по другим окружениям:

Учетная запись (Principal): любые пользователи, компьютеры или сервисы, предоставляемые серверами, должны быть определены как учетные записи Kerberos .

Требования (Instances): используются для сервисных и специальных административных учетных записей.

Области (Realms): уникальная область управления, обеспечиваемая установкой Kerberos. Представляйте ее себе как домен или группу ваших компьютеров и пользователей, ей принадлежащих. По умолчанию Ubuntu использует имя DNS домена в верхнем регистре (EXAMPLE.COM) в качестве имени области.

Центр распространения ключей (KDC): состоит из трех частей: базы данных всех учетных записей, сервера аутентификации и сервера предоставления билетов. Для каждой области должен быть хотя бы один KDC.

Билет для получения билета (TGT): изданный сервером аутентификации, TGT зашифровывается на пароле пользователя, который известен только пользователю и KDC.

Сервер распространения билетов (TGS): выпускает сервисные билеты для клиентов по запросу.

Билеты (Tickets): подтверждение идентичности двух учетных записей. Одна учетная запись — пользователь, а другая — сервис, запрашиваемый этим пользователем. Билеты устанавливают секретный ключ, используемый для защищенного соединения во время авторизованной сессии.

Файлы ключей (Keytab Files): файлы, извлеченные из базы учетных записей KDC и содержащие ключ шифрования для сервиса или компьютера.

Чтобы сложить все вместе: Область содержит как минимум один KDC, лучше больше для обеспечения безотказности, которые содержат базу данных учетных записей. Когда пользователь под учетной записью заходит на рабочую станцию, которая настроена на Kerberos аутентификацию, KDC выпускает билет для получения билетов (TGT). Если пользователь предоставляет совпадающие параметры, он считается аутентифицированным и может запрашивать билеты для сервисов, поддерживающих Kerberos, на сервере распространения билетов (TGS). Сервисные билеты позволяют пользователю аутентифицироваться на сервисах без ввода имени и пароля.

Источник

Подключение linux к домену (kerberos)

Delphi site: daily Delphi-news, documentation, articles, review, interview, computer humor.

Для подключения Linux-систем к домену Windows можно использовать различные технологии. Либо на основе NTLM 1 -аутентификации (традиционный вариант, совместим с доменами Windows NT), либо на основе Kerberos (поддерживается в доменах Windows 200х). Поскольку система безопасности Windows в нормальном режиме использует протоколы Kerberos, то рекомендуется именно так и подключать клиентов Linux.

В следующем примере мы опишем последовательность операций для ОС Red Hat Linux, в других клонах ОС Linux действия могут незначительно отличаться.

Red Hat Linux имеет настройки Security Level Configuration. Если выбран уровень безопасности системы High или Medium, то аутентификация в домене Windows будет не возможна. Поэтому включите вариант No Firewall (с помощью команды меню Main | System Settings или в режиме терминала командой redhat-config-securitylevel).

Протокол Kerberos будет работать только в том случае, если рассогласование времени между компьютером пользователя и контроллером домена составляет меньше 5 минут. Поэтому перед началом операций необходимо синхронизировать время на компьютерах и проверить идентичность установленных часовых поясов.

Для подключения к домену нужно выполнить три шага:

1. Отредактировать конфигурацию клиента Kerberos и nsswitch;

2. Получить билет Kerberos для учетной записи администратора;

3. Выполнить команду подключения к домену.

Настройка конфигурации клиента Kerberos

Настройки Kerberos можно выполнить с помощью имеющихся в системе графических утилит (рис. 2.4), но проще вручную отредактировать файл конфигурации, расположенный по следующему пути: /etc/krb5.conf. В этом файле достаточно отредактировать только параметры доменной области (realm) и центра выдачи ключей (KDC) 1 (Key Distribution Center — центр распределения ключей — служба Kerberos):

kdc = tcp/dc1.local.domain:88 tcp/dc2.local.domain:88 admin_server = dc1.local.domain default_domain = local.domain >

.local.domain = LOCAL.DOMAIN local.domain = LOCAL.DOMAIN

Рис. 2.4. Настройка параметров Kerberos в графическом режиме в Red Hat

Назначения параметров видны по их названиям. Можно использовать также пример, содержащийся в исходном файле krb5.conf.

Примечание Записи в этом файле чувствительны к регистру. Рекомендуется вводить имена только в верхнем регистре, именно так, как это сделано в данном примере.

В файле /etc/nsswitch.conf определяется, какие источники будут использованы для получения данных о пользователях. Иногда настройки по умолчанию ограничиваются только локальными параметрами (в строках упомянуто только files). Поэтому проверьте, чтобы содержимое файла /etc/nsswitch.conf включало параметры как files, так и winbind. Например, так:

group: files winbind hosts: files dns nis winbind networks: files winbind passwd: files winbind shadow: files winbind shells: files winbind

Получение билета Kerberos для учетной записи администратора После того как вы отредактируете конфигурацию, необходимо получить билет Kerberos на Linux-компьютере для учетной записи администратора домена. Для этого выполните следующую команду:

Обратите внимание, что имя домена должно быть набрано прописными буквами, а слева от знака » @» указана учетная запись администратора этого домена.

Команда должна отработать без ошибок. Самая распространенная ошибка возникает в случае, если время системы Linux отличается от времени контроллера домена. В этом случае синхронизируйте время и повторите команду.

Проверить полученный билет можно, выполнив команду:

Эта команда должна показать параметры полученного билета (имя учетной записи, срок действия билета).

Подключение к домену Для включения компьютера с Linux в домен Windows по протоколу Kerberos необходимо выполнить следующую команду (подключение происходит к домену, указанному в параметрах по умолчанию — конфигурации клиента Kerberos):

net ads join -U administrator%password

Обратите внимание, что используется ключ ads, говорящий о подключении к службе каталогов по протоколу Kerberos. Не забудьте сменить имя пользователя

administrator и пароль password на реальное имя пользователя, имеющего право подключения компьютеров к домену (лучше всего, если это будет администратор домена), и его пароль. В ответ вы должны получить сообщение об удачном выполнении операции.

Проверка подключения После подключения к домену в списке компьютеров-членов домена можно будет увидеть Linux-систему.

Проверить наличие подключения можно, попытавшись отразить информацию об учетных записях и их паролях в домене. Сначала проверьте наличие безопасного подключения с помощью следующей команды:

На экране должно появиться аналогичное приведенному далее:

checking the trust secret via RPC calls succeeded

Командой wbinfo -u можно отобразить список пользователей, а применив ее с ключом -g — список групп.

Проверьте, что служба winbind успешно получает пароли с контроллера домена. Для этого выполните команду:

В списке паролей вы должны увидеть записи, относящиеся к домену (имена пользователей будут показаны в начале строки в виде: домен\пользователь).

Источник

Получить билет kerberos linux

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Введение

Related links

• https://help.ubuntu.com/community/Kerberos
• https://help.ubuntu.com/10.04/serverguide/kerberos.html
• По аутентификации с использованием сертификатов здесь: http://k5wiki.kerberos.org/wiki/Pkinit_configuration

Основные понятия

• Key Distribution Center (KDC) — хранилище информации о паролях пользователей
• Admin server — основной сервер kerberos. У нас KDC и admin server находятся на одной машине
• Realm — «среда», в которой производится аутентификация
• Principal — пользователь или сервис, участвующий в механизме аутентификации. Мы пока рассматриваем только пользователей

Стенды

• две виртуальные машины с Ubuntu 12.10 x86
• две виртуальные машины с Astra Linux 1.3 x64

Важно : время на клиенте и сервере должно быть синхронизировано. Невыполнение этого требования может привести к возникновению проблем.

Ubuntu

• = testuser
• = AKTIV-TEST
• = aktiv-test.ru

Сервер

• Установлены krb5-kdc, krb5-admin-server, krb5-pkinit
• Kerberos realm: AKTIV-TEST , доменное имя aktiv-test.ru (прописано в /etc/hosts на клиенте)
  Примечание: доменное имя стоит делать минимум второго уровня для избежания ошибок
• Пользователи: testuser@AKTIV-TEST

Клиент

• Установлены krb5-user, krb5-config, krb5-pkinit
• default realm: AKTIV-TEST
• сервера (kdc, admin) указаны по IP-адресу (лучше указать их в /etc/hosts)

Astra Linux 1.3 Смоленск

• = test1
• = RUSBITECH.RU
• = server.rusbitech.ru

Клиент

Установлены стандартные пакеты для работы с токенами ( openct, opensc )

Сервер и клиент

• Kerberos realm: RUSBITECH.RU , доменное имя server.rusbitech.ru (прописано в /etc/hosts на клиенте)
• Пользователи: test1@RUSBITECH.RU

Добавочно к предустановленным пакетам ald/kerberos установлен krb5-pkinit (krb5-pkinit_1.10.1+dfsg-3_amd64.deb, Debian Wheezy):

Общий порядок действий

1. /* только для Ubuntu */ Установить пакеты и создать новый realm

Для Astra Linux достаточно только установить krb5-pkinit

Сервер

Клиент

Добавить секцию [domain_realm] в /etc/krb5.conf на клиенте и сервере

2. /* Только для Ubuntu */ Завести на сервере нового пользователя с помощью kadmin.local

3. На сервере проверить, что для этого пользователя можно получить тикет:

4. Проверить, что с клиента можно получить тикет, используя аутентификацию по паролю

5. Настроить работу с сертификатами и токеном.

Сервер

Создать ключ и сертификат CA:

Создать ключ и сертификат KDC

Перенести следующие файлы в /var/lib/krb5kdc/:

Включить preauth на сервере

Astra Linux: надо просто переписать секцию kdcdefaults из примера ниже:

Источник

Настройка Kerberos-аутентификации с использованием смарт-карт

В продолжение давней темы про использование двухфакторной аутентификации в ОС GNU/Linux позвольте рассказать про схему работы и настройку аутентификации с помощью Kerberos. В этой статье мы рассмотрим процесс настройки MIT Kerberos для аутентификации пользователей по сертификатам и ключевым парам, находящимся на USB-токене. Также материалы, изложенные в статье, можно использовать для настройки аутентификации в домене Windows.

Краткое введение

Kerberos – сетевой протокол аутентификации, позволяющий передавать данные через незащищённые сети для безопасной идентификации. Ориентирован, в первую очередь, на клиент-серверную модель и обеспечивает взаимную аутентификацию – оба пользователя через сервер подтверждают личности друг друга.

Стоит отметить, что Kerberos в первую очередь является протоколом, а не конкретной системой аутентификации. Его реализации используются в различных операционных системах, в том числе и в Windows, как метод аутентификации пользователей в домене. Существует несколько open source реализаций протокола Kerberos, например оригинальная MIT Kerberos и Heimdal. Такой зоопарк возник из-за ограничений США на экспорт криптографических средств защиты информации, на сегодня эта ситуация вокруг MIT Kerberos уже улеглась. В статье мы рассмотрим процесс настройки для MIT Kerberos V5.

Терминология Kerberos

• Билет (ticket) – временные данные, выдаваемые клиенту для аутентификации на сервере, на котором располагается необходимая служба.
• Клиент (client) – некая сущность в сети (пользователь, хост или сервис), которая может получить билет от Kerberos.
• Центр выдачи ключей (key distribution center, KDC) – сервис, выдающий билеты Kerberos.
• Область (realm) – сеть, используемая Kerberos, состоящая из серверов KDC и множества клиентов. Имя realm регистрозависимо, обычно пишется в верхнем регистре и совпадает с именем домена.
• Принципал (principal) – уникальное имя для клиента, для которого разрешается аутентификация в Kerberos. Записывается в виде root[/instance]@REALM.

Файлы настроек Kerberos

На сервере:

• /etc/krb5kdc/kdc.conf — настройки KDC

На клиенте и сервере:

• /etc/kbr5.conf — настройки сервера аутентификации (описание realms, доменных имен и других настроек)

Настройка рабочего окружения

Для начала необходимо развернуть среду, в которой будет производиться аутентификация. Наиболее просто это сделать, взяв две виртуальные машины, находящиеся в одной подсети. Достаточно установить на одну виртуальную машину какую-нибудь Ubuntu (это будет наш сервер), а затем клонировать ее и получить клиента. При написании статьи я воспользовался свежей Ubuntu 12.10 (x86) и виртуальной машиной от VMWare. Чтобы виртуальным машинам было удобнее видеть друг друга по сети, стоит переключить сетевые карты в Bridged-режим.
Важно! Следите за тем, чтобы время на клиенте и сервере было синхронизировано, это необходимо для корректной работы Kerberos.

Настройка сети

Клиенты Kerberos ищут свои сервера по доменным именам, поэтому необходимо настроить DNS и убедиться, что имена серверов успешно разрешаются. В нашем примере достаточно занести доменное имя сервера в /etc/hosts, что я и сделал. Схема «сети» изображена ниже.

Установка необходимых пакетов

На сервере нам потребуются:

• krb5-kdc – сервис KDC
• krb5-admin-server – административный сервер Kerberos (он ведет контроль учетных записей пользователей)
• krb5-pkinit – модуль расширения Kerberos для аутентификации по сертификатам

На клиент надо поставить следующие пакеты:

• krb5-user – базовый набор утилит для работы клиентской аутентификации
• krb5-config – файлы настроек Kerberos
• krb5-pkinit
• libpam-krb5 – модуль PAM для использования Kerberos-аутентификации
• pcscd, opensc, libengine-pkcs11-openssl – пакеты, необходимые для работы с токенами

При установке пакетов у нас спросят настройки по умолчанию, мы будем использовать следующие:

• Default realm: AKTIV-TEST.RU
• Имена серверов (admin server и KDC): aktiv-test.ru (он же прописан в /etc/hosts на клиенте)
• Пользователь: testuser@AKTIV-TEST.RU

Настройка Kerberos

Базовые настройки

Настройка аутентификации по открытому ключу

На сервере:

Создадим ключевую пару и сертификат нашего «УЦ». Здесь мы сгененируем ключ УЦ и создадим самоподписанный сертификат с помощью openssl. В реальном мире ключ естественно надо надежно защитить от попадания в чужие руки.
Создадим ключевую пару для KDC, заявку на сертификат и выпишем его сами себе.
Здесь нам потребуется специальный файл расширений OpenSSL (pkinit_extensions), в котором будут указаны дополнительные поля сертификатов, используемых в Kerberos. В частности, мы зададим:

• Extended Key Usage (EKU) – идентификатор (OID), говорящий о том, как планируется использовать сертификат
• otherName – поле, задающее нашего принципала, для которого выписывается сертификат

После этого перенесем следующие файлы в /var/lib/krb5kdc/:

• kdc.pem
• kdckey.pem
• cacert.pem

На сервере отредактируем настройки Kerberos (файл /etc/krb5kdc/kdc.conf) для использования ключей и сертификатов сервера и УЦ:
Далее на сервере необходимо включить предварительную аутентификацию для нашего пользователя.

Дальнейшие действия будем выполнять на клиенте

Настройка PAM-аутентификации с использованием Kerberos

Ранее при настройке клиентской машины мы поставили пакет libpam-krb5. Он поможет нам выполнить аутентификацию в Kerberos при входе в систему, а также в приложениях, использующих системную аутентификацию (например login, lightdm и проч.). Для подключения модуля PAM достаточно выполнить команду
и выбрать в диалоге необходимые модули аутентификации. Для более тонкой настройки можно заглянуть в файл /etc/pam.d/common-auth и отредактировать его по желанию. Структуру файла я описывал в предыдущей статье.

Заключение

Применение протокола Kerberos для централизованной аутентификации в связке с централизованным созданием хранением и раздачей учетных записей (например, посредством каталога на базе OpenLDAP) позволяет создать «домен UNIX», полностью состоящий из машин под управлением свободного программного обеспечения. Такое решение может применяться в корпоративном секторе, а аутентификация по смарт-картам будет приятным бонусом как для администраторов, так и для пользователей сети компании.

Источник