Passwortlos per SSH auf URZ Rechner einloggen

Kerberos ist das Protokoll, das es erlaubt, sich ohne wiederholte Eingabe eines Passwortes auf Linuxrechnern des URZ einzuloggen. Im Folgenden wird beschrieben, wie man einen nicht vom URZ administrierten Linux-PC einrichtet, um dies zu realisieren.

Installation

Zunächst muss die Kerberos-Software installiert werden. Unter Linux gibt es zwei Implementierungen, MIT Kerberos und Heimdal Kerberos. Welche verwendet wird, hängt im Wesentlichen von der Distribution ab. Beide Varianten sind geeignet. Unter Debian oder Ubuntu muss das Paket krb5-user installiert werden, bei RedHat-basierten Distributionen wie Fedora und Scientific Linux heißt das Paket krb5-workstation.

Konfiguration

Debian und Ubuntu fragen während der Installation nach dem Realm, der richtige Wert ist TU-CHEMNITZ.DE (in Großbuchstaben). Danach ist Kerberos5 bereits einsatzbereit konfiguriert. Bei Redhat-basierten Distributionen ist es am einfachsten, folgenden Inhalt in die Datei /etc/krb5.conf einzutragen:
[libdefaults]
default_realm = TU-CHEMNITZ.DE
clockskew = 300
kdc_timeout = 5
dns_lookup_realm = false
dns_lookup_kdc = true
kdc_timesync = false
ticket_lifetime = 2592000s
renew_lifetime = 2592000s
forwardable = true
fcc-mit-ticketflags = true

[realms]
TU-CHEMNITZ.DE = {
kdc = kerberos-1.tu-chemnitz.de
kdc = kerberos-2.tu-chemnitz.de
kdc = kerberos.tu-chemnitz.de
admin_server = kerberos-adm.tu-chemnitz.de
default_domain = tu-chemnitz.de
}

[domain_realm]
tu-chemnitz.de = TU-CHEMNITZ.DE
.tu-chemnitz.de = TU-CHEMNITZ.DE

Damit ist Kerberos5 fertig konfiguriert. Anschließend kann mit kinit ein Ticket geholt werden. Dieses Ticket ist der Ausweis gegenüber den Servern des URZ, dass der Nutzer sich per Kerberos authentifiziert hat.

Konfiguration der SSH

Für die Konfiguration von ssh reicht es, in die Datei /etc/ssh/ssh_config folgende Zeilen hinzuzufügen:

Host *
GSSAPIAuthentication yes
GSSAPIDelegateCredentials yes

Anschließend ist SSH so konfiguriert, dass das Kerberosticket berechtigt ist, ein AFS-Token zu erhalten. Dies ist notwendig, damit der Zugriff auf das AFS-Homeverzeichnis möglich ist.

Passwortloses Login im WTC

Firefox unterstützt ebenfalls Kerberos, muss aber für die Nutzung konfiguriert werden. Dazu muss in der Adressleiste der URL about:config aufgerufen werden. Es erscheint eine Warnung, dass man nun alle Einstellungen ändern kann. In der Suche kann man nach negotiate-auth suchen. Bei den Einträgen network.negotiate-auth.delegation-uris und network.negotiate-auth.trusted-uris muss als Wert jeweils wtc.tu-chemnitz.de eingetragen werden.

Getagged mit:
Veröffentlicht in Allgemein, HowTo, IT-Sicherheit
2 Kommentare zu “Passwortlos per SSH auf URZ Rechner einloggen
  1. Frank Richter sagt:

    Zum Lesen und Senden von E-Mail von mailbox.hrz.tu-chemnitz.de mit Thunderbird ohne Passwort, sondern mit Kerberos:
    Einstellungen -> Konten-Einstellungen:
    Server-Einstellungen: Authentifizierungsmethode: Kerberos / GSSAPI
    Das nochmal beim Postausgangs-Server
    That’s it 🙂

  2. Thomas Wilhelm-Stein sagt:

    Das automatische WTC-Login funktioniert auch mit Chromium / Chrome / Brave / usw.

    Einfach den Browser einmal mit folgendem Parameter starten:
    –auth-server-whitelist=“wtc.tu-chemnitz.de“

    Bei weiteren Starts des Browsers ist der Parameter nicht mehr notwendig.

Schreibe einen Kommentar