Wat lang geleden, maar toch relevant: Op zaterdag 7 juni 2014 13:18:47 schreef Paul van der Vlis: [...] > 2. De backend van Kerberos staat in LDAP, dus ook alle paswoorden.
Ik hoop dat je een lokale LDAP replicant draait op de kerberos KDC, en dat je je ACLs zo geconfigureerd hebt dat alleen de KDC aan de Kerberos principals kan...? [...] > 4. De homedirectories staan daar op NFS, soms werken mensen ook op een > andere locatie. We willen gaan kijken of dat via internet gaat. NFS ondersteunt ook een encrypted modus. Je hebt daarvoor Kerberos nodig, maar dat heb je al. Procedure: - Maak een NFS/<fqdn>@REALM principal aan (bv NFS/[email protected]) en zorg ervoor dat die in de keytab van je NFS-server staat. - Als je clients ook aan de NFS server moeten kunnen vooraleer er een gebruiker aangelogd is (bv om .k5login te kunnen lezen, of omdat /usr op NFS staat ofzo), dan hebben ook je clients een NFS/ principal nodig. - Gebruik de "sec=krb5p" optie in je exports file. Bijvoorbeeld: /home 192.168.0.0/255.255.255.0(sec=krb5p,rw,no_subtree_check) De "p" in "krb5p" staat voor "privacy protection", wat NFS-ees is voor "encryptie". Er bestaan ook opties "krb5" en "krb5i". Het verschil tussen de drie is dat krb5 alleen kerberized authenticatie verwacht, terwijl krb5i checksums meestuurt om te voorkomen dat met de data gefoeterd is. Merk wel op dat "krb5p" *alles* moet encrypteren, wat een impact op performance kan hebben. -- It is easy to love a country that is famous for chocolate and beer -- Barack Obama, speaking in Brussels, Belgium, 2014-03-26 -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: https://lists.debian.org/[email protected]
