Re: NFSv4,Kerberos, PAM und SSH
Hallo, On Sun, 10 Jul 2005 13:20:00 +0200 (CEST) Jens Ruehmkorf [EMAIL PROTECTED] wrote: habe doch die Haelfte vergessen. Aus der sshd_config (5), evtl. musst Du auch die Option UsePAM anschalten. UsePAM: Enables PAM authentication (via challenge-response) and session set up. If you enable this, you should probably disable PasswordAuthentication. If you enable then you will not be able to run sshd as a non-root user. The default is ``no''. UsePrivilegeSeparation: Specifies whether sshd separates privileges by creating an unprivileged child process to deal with incoming network traffic. After successful authentication, another process will be created that has the privilege of the authenticated user. The goal of privilege separation is to prevent privilege escalation by containing any corruption within the unprivileged processes. The default is ``yes''. UsePAM war schon eingeschaltet. Aber der Hinweis auf UsePrivilegeSeparation war gut, denn ich habe das jetzt mal auf no gesetzt und siehe da, ich habe ein Kerberos Ticket bekommen. Es ist nur schade, dass durch UsePrivilegeSeparation no die Sicherheit reduziert wird. Christoph -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: NFSv4,Kerberos, PAM und SSH
Hallo, Aber er braucht doch kein Ticket? Er hat doch kein AFS. So wie ich NFS _v4_ verstehe, braucht er eins. Nun ja, NFS 4 braucht nicht zwingend Kerberos, man kann auch AUTH_SYS benutzen. Aber Kerberos ist der Grund, warum ich NFSv4 einsetzen möchte (obwohl Kerberos-Authentifizierung auch bei älteren NFS-Versionen eingesetzt werden kann). Christoph
Re: NFSv4,Kerberos, PAM und SSH
Hallo, Ich habe eine kleine Testumgebung für NFSv4 in Kombination mit Kerberos-Auhentifizierung aufgebaut. Im Prinzip funktioniert. Da ich den Benutzern die Benutzung von kinit direkt nach dem Einloggen ersparen will, benutze ich das PAM-Modul pam_krb5.so in /etc/pam.d/common-auth. Leider kann sich aber ein Benutzer nur bei einem lokalen Login auf einem Rechner per Kerberos-Passwort erfolgreich anmelden und auch sofort auf sein Home-Verzeichnis zugreifen. Bei einem Remote-Login per ssh funktioniert zwar das Einloggen, aber nicht der Zugriff auf das Home-Verzeichnis (Permission denied). ehm, so was wollte ich auch mal bauen. An welcher Doku hast du dich orientiert? Das was ich habe ist zur Zeit irgendwie widersprüchlich. Ich habe mich an http://www.citi.umich.edu/projects/nfsv4/linux/ orientiert. Zuerst habe ich den Kernel 2.6.12 mit den bei CITI (siehe Link oben) zur Verfügung stehenden Patches versorgt, kompiliert und auf Server und Client installiert. Dann habe ich auf beiden Rechnern folgende Zeile zu /etc/apt/sources.list hinzugefügt, wie unten auf http://www.citi.umich.edu/projects/nfsv4/linux/user-build.html beschrieben: deb http://www.citi.umich.edu/projects/nfsv4/debian unstable main Dann apt-get update; apt-get dist-upgrade. Dann habe ich - wie auf http://www.citi.umich.edu/projects/nfsv4/linux/using-nfsv4.html beschrieben - die notwendigen Verzeichnisse (v4recovery,rpc_pipefs) angelegt. Die Einträge in der fstab sind gar nicht nötig, die Mounts werden schon durch die NFS-Startskripte vorgenommen. Dann habe ich die exports-Datei angelegt. Dann habe ich auf dem NFS-Server die Pakete krb5-admin-server, krb5-kdc und krb5-config installiert und konfiguriert, auf dem Client die Pakete krb5-config und krb5-user. Dann habe ich NFS-Server und NFS-Client zu Kerberos hinzugefügt, wie auf http://www.citi.umich.edu/projects/nfsv4/linux/krb5-setup.html beschrieben. Danach habe ich noch einen Benutzer zu Kerberos hinzugefügt, auch mit addprinc. Danach konnte ich dann das Verzeichnis mounten und als Benutzer nach einem kinit [EMAIL PROTECTED] auch darauf zugreifen. Ich hoffe, dass Dir das erstmal hilft. Falls es Probleme gibt, kannst Du mich gerne fragen. Christoph
Re: NFSv4,Kerberos, PAM und SSH
Hallo Christoph! On Mon, 11 Jul 2005, Christoph Pleger wrote: ehm, so was wollte ich auch mal bauen. An welcher Doku hast du dich orientiert? Das was ich habe ist zur Zeit irgendwie widersprüchlich. Ich habe mich an http://www.citi.umich.edu/projects/nfsv4/linux/ orientiert. Ah gut. Ich hatte bis jetzt nur die beiden NFSv4-Artikel aus der iX gelesen (Ausgaben 05/2005 und 06/2005). Mich wuerde vor allem interessieren was Du von NFSv4 in ein paar Wochen noch haeltst. Vom Prinzip her wuerde ich gerne einige Daten-Partitionen bei uns durch NFSv4 ersetzen. Ist es schon reif fuer den Produktionsbetrieb? Aber ich selbst werde wohl erst im Herbst dazu kommen. Ich hoffe, dass Dir das erstmal hilft. Falls es Probleme gibt, kannst Du mich gerne fragen. Ich glaube ich wuerde darauf im Zweifel auch gerne zurueckgreifen ;) -- Gruss Jens
Re: NFSv4,Kerberos, PAM und SSH
Hallo, Ah gut. Ich hatte bis jetzt nur die beiden NFSv4-Artikel aus der iX gelesen (Ausgaben 05/2005 und 06/2005). Mich wuerde vor allem interessieren was Du von NFSv4 in ein paar Wochen noch haeltst. Dazu werde ich nichts sagen können, da ich es - sobald alles erstmal im Kleinen wie gewünscht läuft - erst einmal nicht mehr benutzen werde. Ich wollte mich nur ein wenig einarbeiten, damit ich nicht für den wahrscheinlichen Fall, dass wir das mittelfristig einsetzen wollen, völlig unvorbereitet bin. Vom Prinzip her wuerde ich gerne einige Daten-Partitionen bei uns durch NFSv4 ersetzen. Ist es schon reif fuer den Produktionsbetrieb? Nach dem Lesen der bisherigen Dokumentation und der Aussagen der Projektentwickler bin ich zu dem Ergebnis gekommen, dass es momentan noch nicht reif für den Produktionsbetrieb ist. Gruß Christoph
Re: NFSv4,Kerberos, PAM und SSH
Nachtrag zu PAM und SSH: Ich war zwischenzeitlich darauf gestossen: es ist bekannt, dass das Zusammenspiel von PAM und SSH 3.8, nun ja, nicht so toll ist (oder zumindest war). (Siehe bug-reports von ssh und ssh-krb5.) Das genau war wohl auch der Grund, warum auch fuer andere PAM-Module als pam_krb5 (die vorher auch mit UsePrivilegSeperation no und ssh 3.8 nicht gingen), zeitweise auf ssh-krb5 verwiesen wurde. Das basierte bis vor ein paar Monaten noch auf OpenSSH mit Version 3.6 irgendwas, waehrend ssh selbst schon auf 3.8 war. -- Gruesse Jens -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: NFSv4,Kerberos, PAM und SSH
ja hallo erstmal,... Am Samstag, 9. Juli 2005 00:12 schrieb Joerg Sommer: Jens Ruehmkorf [EMAIL PROTECTED] wrote: On Thu, 7 Jul 2005, Joerg Sommer wrote: Jens Ruehmkorf [EMAIL PROTECTED] wrote: Benutzt Du das Pakete ssh-krb5? Das ist doch nur dazu da, dass die Kerberos-Tickets per ssh weitergereicht werden. Du musst dir also nur einmal ein Ticket holen und das wird dann auf die Systeme, auf denen du dich einloggt, weitergereicht. Genau das war aber erstmal meine Vermutung, dass es nicht geht. Authentifizierung ja, aber Ticket nein, darum kein ${HOME}. So mal ins Blaue hinein ... Aber er braucht doch kein Ticket? Er hat doch kein AFS. So wie ich NFS _v4_ verstehe, braucht er eins. Keep smiling yanosz -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: NFSv4,Kerberos, PAM und SSH
Hallo Christoph, On Thu, 7 Jul 2005, Christoph Pleger wrote: Ich habe eine kleine Testumgebung für NFSv4 in Kombination mit Kerberos-Auhentifizierung aufgebaut. Im Prinzip funktioniert. Da ich den Benutzern die Benutzung von kinit direkt nach dem Einloggen ersparen will, benutze ich das PAM-Modul pam_krb5.so in /etc/pam.d/common-auth. mir ist noch etwas eingefallen, was Dir in diesem Zshg. evtl. weiterhilft: Falls die pam-Module, die Du benutzt (pam_krb5.so), root-privileges benoetigen, so funktioniert das mit OpenSSH nur dann, wenn Du in der sshd-config Privilege Seperation ausschaltest (UsePrivilegeSeparation no). Die ist aber per default an. Leider kann sich aber ein Benutzer nur bei einem lokalen Login auf einem Rechner per Kerberos-Passwort erfolgreich anmelden und auch sofort auf sein Home-Verzeichnis zugreifen. Bei einem Remote-Login per ssh funktioniert zwar das Einloggen, aber nicht der Zugriff auf das Home-Verzeichnis (Permission denied). Berichte mal, wenn Du's raus hast. Viele Gruesse aus Koeln Jens
Re: NFSv4,Kerberos, PAM und SSH
ja hallo erstmal,... Am Donnerstag, 7. Juli 2005 16:43 schrieb Christoph Pleger: Hallo, Ich habe eine kleine Testumgebung für NFSv4 in Kombination mit Kerberos-Auhentifizierung aufgebaut. Im Prinzip funktioniert. Da ich den Benutzern die Benutzung von kinit direkt nach dem Einloggen ersparen will, benutze ich das PAM-Modul pam_krb5.so in /etc/pam.d/common-auth. Leider kann sich aber ein Benutzer nur bei einem lokalen Login auf einem Rechner per Kerberos-Passwort erfolgreich anmelden und auch sofort auf sein Home-Verzeichnis zugreifen. Bei einem Remote-Login per ssh funktioniert zwar das Einloggen, aber nicht der Zugriff auf das Home-Verzeichnis (Permission denied). ehm, so was wollte ich auch mal bauen. An welcher Doku hast du dich orientiert? Das was ich habe ist zur Zeit irgendwie widersprüchlich. Keep smiling yanosz
Re: NFSv4,Kerberos, PAM und SSH
Jens Ruehmkorf [EMAIL PROTECTED] wrote: On Thu, 7 Jul 2005, Joerg Sommer wrote: Jens Ruehmkorf [EMAIL PROTECTED] wrote: Benutzt Du das Pakete ssh-krb5? Das ist doch nur dazu da, dass die Kerberos-Tickets per ssh weitergereicht werden. Du musst dir also nur einmal ein Ticket holen und das wird dann auf die Systeme, auf denen du dich einloggt, weitergereicht. Genau das war aber erstmal meine Vermutung, dass es nicht geht. Authentifizierung ja, aber Ticket nein, darum kein ${HOME}. So mal ins Blaue hinein ... Aber er braucht doch kein Ticket? Er hat doch kein AFS. Jörg. -- Es liegt in der Natur des Menschen, vernünftig zu denken und unlogisch zu handeln! Das Gesagte ist nicht das Gemeinte und das Gehörte nicht das Verstandene! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: NFSv4,Kerberos, PAM und SSH
Jens Ruehmkorf [EMAIL PROTECTED] wrote: On Thu, 7 Jul 2005, Christoph Pleger wrote: Ich habe eine kleine Testumgebung f?r NFSv4 in Kombination mit Kerberos-Auhentifizierung aufgebaut. Im Prinzip funktioniert. sehr interessant! Sowas wollte ich demnaechst auch mal testen... ACK. Da ich den Benutzern die Benutzung von kinit direkt nach dem Einloggen ersparen will, benutze ich das PAM-Modul pam_krb5.so in /etc/pam.d/common-auth. Leider kann sich aber ein Benutzer nur bei einem lokalen Login auf einem Rechner per Kerberos-Passwort erfolgreich anmelden und auch sofort auf sein Home-Verzeichnis zugreifen. Bei einem Remote-Login per ssh funktioniert zwar das Einloggen, aber nicht der Zugriff auf das Home-Verzeichnis (Permission denied). Benutzt Du das Pakete ssh-krb5? Das ist doch nur dazu da, dass die Kerberos-Tickets per ssh weitergereicht werden. Du musst dir also nur einmal ein Ticket holen und das wird dann auf die Systeme, auf denen du dich einloggt, weitergereicht. Jörg. -- Politics is for the moment, equations are forever -- Albert Einstein -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: NFSv4,Kerberos, PAM und SSH
Christoph Pleger [EMAIL PROTECTED] wrote: Hallo, Ich habe eine kleine Testumgebung für NFSv4 in Kombination mit Kerberos-Auhentifizierung aufgebaut. Im Prinzip funktioniert. Da ich den Benutzern die Benutzung von kinit direkt nach dem Einloggen ersparen will, benutze ich das PAM-Modul pam_krb5.so in /etc/pam.d/common-auth. Leider kann sich aber ein Benutzer nur bei einem lokalen Login auf einem Rechner per Kerberos-Passwort erfolgreich anmelden und auch sofort auf sein Home-Verzeichnis zugreifen. Bei einem Remote-Login per ssh funktioniert zwar das Einloggen, aber nicht der Zugriff auf das Home-Verzeichnis (Permission denied). Hast du mal ssh mit -v laufen lassen? Was steht in auth.log? Jörg. -- Hügelschäfer's Law (http://www.bruhaha.de/laws.html): Beiträge werden dort gepostet, wo sie den größten Widerstand hervorrufen. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: NFSv4,Kerberos, PAM und SSH
On Thu, 7 Jul 2005, Joerg Sommer wrote: Jens Ruehmkorf [EMAIL PROTECTED] wrote: Benutzt Du das Pakete ssh-krb5? Das ist doch nur dazu da, dass die Kerberos-Tickets per ssh weitergereicht werden. Du musst dir also nur einmal ein Ticket holen und das wird dann auf die Systeme, auf denen du dich einloggt, weitergereicht. Genau das war aber erstmal meine Vermutung, dass es nicht geht. Authentifizierung ja, aber Ticket nein, darum kein ${HOME}. So mal ins Blaue hinein ... -- Jens -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
NFSv4,Kerberos, PAM und SSH
Hallo, Ich habe eine kleine Testumgebung für NFSv4 in Kombination mit Kerberos-Auhentifizierung aufgebaut. Im Prinzip funktioniert. Da ich den Benutzern die Benutzung von kinit direkt nach dem Einloggen ersparen will, benutze ich das PAM-Modul pam_krb5.so in /etc/pam.d/common-auth. Leider kann sich aber ein Benutzer nur bei einem lokalen Login auf einem Rechner per Kerberos-Passwort erfolgreich anmelden und auch sofort auf sein Home-Verzeichnis zugreifen. Bei einem Remote-Login per ssh funktioniert zwar das Einloggen, aber nicht der Zugriff auf das Home-Verzeichnis (Permission denied). Kann mir jemand weiterhelfen? Christoph
Re: NFSv4,Kerberos, PAM und SSH
Hallo Christoph, On Thu, 7 Jul 2005, Christoph Pleger wrote: Ich habe eine kleine Testumgebung f?r NFSv4 in Kombination mit Kerberos-Auhentifizierung aufgebaut. Im Prinzip funktioniert. sehr interessant! Sowas wollte ich demnaechst auch mal testen... Da ich den Benutzern die Benutzung von kinit direkt nach dem Einloggen ersparen will, benutze ich das PAM-Modul pam_krb5.so in /etc/pam.d/common-auth. Leider kann sich aber ein Benutzer nur bei einem lokalen Login auf einem Rechner per Kerberos-Passwort erfolgreich anmelden und auch sofort auf sein Home-Verzeichnis zugreifen. Bei einem Remote-Login per ssh funktioniert zwar das Einloggen, aber nicht der Zugriff auf das Home-Verzeichnis (Permission denied). Benutzt Du das Pakete ssh-krb5? Kann mir jemand weiterhelfen? Kannst ja mal an die Liste berichten, wie es Dir so ergangen ist. Ich finde das Thema sehr spannend. Gruesse aus Koeln Jens -- ruehmkorf at informatik dot uni hyphen koeln dot de
Re: NFSv4,Kerberos, PAM und SSH
Hallo, On Thu, 7 Jul 2005 18:01:10 +0200 (CEST) Jens Ruehmkorf [EMAIL PROTECTED] wrote: Bei einem Remote-Login per ssh funktioniert zwar das Einloggen, aber nicht der Zugriff auf das Home-Verzeichnis (Permission denied). Benutzt Du das Pakete ssh-krb5? Nein, aber ich glaube, dass das auch nicht nötig ist, weil ich ja Kerberos für NFS benutzen will und nicht für SSH. Christoph
Re: NFSv4,Kerberos, PAM und SSH
On Thu, 7 Jul 2005 18:01:10 +0200 (CEST) Jens Ruehmkorf [EMAIL PROTECTED] wrote: Bei einem Remote-Login per ssh funktioniert zwar das Einloggen, aber nicht der Zugriff auf das Home-Verzeichnis (Permission denied). Benutzt Du das Pakete ssh-krb5? Nein, aber ich glaube, dass das auch nicht n?tig ist, weil ich ja Kerberos f?r NFS benutzen will und nicht f?r SSH. Hm. Stimmt, Du machst das ja via pam. Bei Benutzung des ssh-krb5 funktioniert es bei uns in Zshg. mit AFS. Daher vielleicht ein alternativer Versuch wert. So, tschues fuer heute... Jens