Kerberos ist das Protokoll, das es erlaubt, sich ohne wiederholte Eingabe eines Passwortes auf Linuxrechnern des URZ einzuloggen. Im Folgenden wird beschrieben, wie man einen nicht vom URZ administrierten Linux-PC einrichtet, um dies zu realisieren.
Installation
Zunächst muss die Kerberos-Software installiert werden. Unter Linux gibt es zwei Implementierungen, MIT Kerberos und Heimdal Kerberos. Welche verwendet wird, hängt im Wesentlichen von der Distribution ab. Beide Varianten sind geeignet. Unter Debian oder Ubuntu muss das Paket krb5-user installiert werden, bei RedHat-basierten Distributionen wie Fedora und Scientific Linux heißt das Paket krb5-workstation.
Konfiguration
Debian und Ubuntu fragen während der Installation nach dem Realm, der richtige Wert ist TU-CHEMNITZ.DE (in Großbuchstaben). Danach ist Kerberos5 bereits einsatzbereit konfiguriert. Bei Redhat-basierten Distributionen ist es am einfachsten, folgenden Inhalt in die Datei /etc/krb5.conf einzutragen:
[libdefaults]
default_realm = TU-CHEMNITZ.DE
clockskew = 300
kdc_timeout = 5
dns_lookup_realm = false
dns_lookup_kdc = true
kdc_timesync = false
ticket_lifetime = 2592000s
renew_lifetime = 2592000s
forwardable = true
fcc-mit-ticketflags = true
[realms]
TU-CHEMNITZ.DE = {
kdc = kerberos-1.tu-chemnitz.de
kdc = kerberos-2.tu-chemnitz.de
kdc = kerberos.tu-chemnitz.de
admin_server = kerberos-adm.tu-chemnitz.de
default_domain = tu-chemnitz.de
}
[domain_realm]
tu-chemnitz.de = TU-CHEMNITZ.DE
.tu-chemnitz.de = TU-CHEMNITZ.DE
Damit ist Kerberos5 fertig konfiguriert. Anschließend kann mit kinit ein Ticket geholt werden. Dieses Ticket ist der Ausweis gegenüber den Servern des URZ, dass der Nutzer sich per Kerberos authentifiziert hat.
Konfiguration der SSH
Für die Konfiguration von ssh reicht es, in die Datei /etc/ssh/ssh_config folgende Zeilen hinzuzufügen:
Host *.tu-chemnitz.de
GSSAPIAuthentication yes
GSSAPIDelegateCredentials yes
Anschließend ist SSH so konfiguriert, dass das Kerberosticket berechtigt ist, ein AFS-Token zu erhalten. Dies ist notwendig, damit der Zugriff auf das AFS-Homeverzeichnis möglich ist.
Passwortloses Login im WTC
Firefox unterstützt ebenfalls Kerberos, muss aber für die Nutzung konfiguriert werden. Dazu muss in der Adressleiste der URL about:config aufgerufen werden. Es erscheint eine Warnung, dass man nun alle Einstellungen ändern kann. In der Suche kann man nach negotiate-auth suchen. Bei den Einträgen network.negotiate-auth.delegation-uris und network.negotiate-auth.trusted-uris muss als Wert jeweils wtc.tu-chemnitz.de eingetragen werden.
Zum Lesen und Senden von E-Mail von mailbox.hrz.tu-chemnitz.de mit Thunderbird ohne Passwort, sondern mit Kerberos:
Einstellungen -> Konten-Einstellungen:
Server-Einstellungen: Authentifizierungsmethode: Kerberos / GSSAPI
Das nochmal beim Postausgangs-Server
That’s it 🙂
Das automatische WTC-Login funktioniert auch mit Chromium / Chrome / Brave / usw.
Einfach den Browser einmal mit folgendem Parameter starten:
–auth-server-whitelist=“wtc.tu-chemnitz.de“
Bei weiteren Starts des Browsers ist der Parameter nicht mehr notwendig.