Hallo Wouter en anderen, op 21-07-14 17:40, Wouter Verhelst schreef: > Wat lang geleden, maar toch relevant: > > Op zaterdag 7 juni 2014 13:18:47 schreef Paul van der Vlis: > [...] >> 2. De backend van Kerberos staat in LDAP, dus ook alle paswoorden. > > Ik hoop dat je een lokale LDAP replicant draait op de kerberos KDC, en > dat je je ACLs zo geconfigureerd hebt dat alleen de KDC aan de Kerberos > principals kan...?
Ja inderdaad. De KDC vind het overigens helemaal niet leuk dat de LDAP gerepliceerd en daarom read-only is, verschillende dingen kunnen niet zoals een key naar een keytab downloaden. We wilden echter graag een KDC per locatie omdat het internet ook wel eens plat kan liggen. Dan wil je toch kunnen doorwerken. Waarschijnlijk is een slave-KDC de betere oplossing: http://web.mit.edu/kerberos/krb5-devel/doc/admin/install_kdc.html > [...] >> 4. De homedirectories staan daar op NFS, soms werken mensen ook op een >> andere locatie. We willen gaan kijken of dat via internet gaat. > > NFS ondersteunt ook een encrypted modus. Je hebt daarvoor Kerberos > nodig, maar dat heb je al. Cprrect. Ik wou NFS homedirectories e.d., maar wel beveiligt. Dat bleek een ingewikkelde materie. Hier heb ik veel gedocumenteerd: https://wiki.debian.org/nfs4-kerberos-ldap Er zit overigens ook openVPN tussen de locaties, daarom lijkt encrypten me niet erg nodig. > Procedure: > - Maak een NFS/<fqdn>@REALM principal aan (bv NFS/[email protected]) > en zorg ervoor dat die in de keytab van je NFS-server staat. Die is er inderdaad. > - Als je clients ook aan de NFS server moeten kunnen vooraleer er een > gebruiker aangelogd is (bv om .k5login te kunnen lezen, of omdat /usr > op NFS staat ofzo), dan hebben ook je clients een NFS/ principal > nodig. Ja, die hebben ze ook, tijdens het booten wordt al het een en ander gemount. /home bijvoorbeeld. > - Gebruik de "sec=krb5p" optie in je exports file. Bijvoorbeeld: > > /home 192.168.0.0/255.255.255.0(sec=krb5p,rw,no_subtree_check) > > De "p" in "krb5p" staat voor "privacy protection", wat NFS-ees is voor > "encryptie". Er bestaan ook opties "krb5" en "krb5i". Het verschil > tussen de drie is dat krb5 alleen kerberized authenticatie verwacht, > terwijl krb5i checksums meestuurt om te voorkomen dat met de data > gefoeterd is. > > Merk wel op dat "krb5p" *alles* moet encrypteren, wat een impact op > performance kan hebben. Met krb5p heb ik nog geen ervaring, ik gebruik op het moment krb5i. Groet, Paul. -- Paul van der Vlis Linux systeembeheer, Groningen http://www.vandervlis.nl -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: https://lists.debian.org/[email protected]
