Kerberos Authentifizierung

Zusätzlich zu der Authentifizierung über Benutzername und Kennwort können Sie auch den sogenannten Kereberos-Authentifizierungsmechanismus zur Authentifizierung verwenden. Der Vorteil ist, dass Sie sich nur einmal anmelden müssen und weiter Verbindungen zu anderen Rechnern oder Diensten automatisch authentifiziert werden. Um diese Methode verwenden zu können, müssen sowohl der Client (z. B. ssh oder ein Webbrowser) als auch der Dienst, mit dem Sie sich verbinden, "kerberos-fähig" sein.

Beispiele für solche Dienste sind:

  • Andrew File System (AFS)
  • ssh/scp Clients (inklusive OpenSSH und PuTTY) die eine Verbindung zu einem ssh-Server herstellen
  • die meisten modernen Webbrowser (Microsoft Edge, Firefox, Safari, Chrome) , die eine Verbindung zu Webservern (Apache usw.) und Webanwendungen (z. B. Alfresco, Foswiki) herstellen. 

Auf allen Systemen, auf denen ein von AIT bereitgestelltes, angepasstes Windows oder ScientificLinux läuft, ist Kerberos bereits konfiguriert.

Die folgenden Konfigurationseinstellungen müssen einmalig definiert werden. Für Unix-Client-Systeme (Linux, MacOS <= 10.6) müssen die folgenden Einstellungen in der Datei /etc/krb5.conf gespeichert werden.

[logging] default = SYSLOG:DEBUG:LOCAL0 [libdefaults] default_realm = D.PSI.CH ticket_lifetime = 25h renew_lifetime = 30d dns_lookup_realm = false dns_lookup_kdc = false udp_preference_limit = 42 allow_weak_crypto = yes [realms] PSI.CH = { kdc = afs00.psi.ch:88 afs01.psi.ch:88 afs02.psi.ch:88 admin_server = afs00.psi.ch:749 kpasswd_server = afs00.psi.ch:464 default_domain = psi.ch } D.PSI.CH = { kdc = d.psi.ch:88 kpasswd_server = d.psi.ch. default_domain = psi.ch } [domain_realm] .psi.ch = D.PSI.CH

 

Hinweis: Für MacOS X >= 10.7 benötigen Sie eine leicht modifizierte Version.

 

[logging] default = SYSLOG:DEBUG:LOCAL0 [libdefaults] default_realm = D.PSI.CH ticket_lifetime = 25h renew_lifetime = 30d dns_lookup_realm = false dns_lookup_kdc = false udp_preference_limit = 42 allow_weak_crypto = yes [realms] PSI.CH = { kdc = tcp/afs00.psi.ch:88 tcp/afs01.psi.ch:88 tcp/afs02.psi.ch:88 admin_server = afs00.psi.ch:749 kpasswd_server = afs00.psi.ch:464 default_domain = psi.ch } D.PSI.CH = { kdc = tcp/d.psi.ch:88. kpasswd_server = d.psi.ch. default_domain = psi.ch } [domain_realm] .psi.ch = D.PSI.CH