Ziel

• Wir haben FreeIPA aufgesetzt.
• Nun wollen wir folgendes umsetzen:
  • Einen SSH-Server in FreeIPA integrieren.
  • Vom Client aus ein Kerberos-Ticket abrufen.
  • Vom Client aus ohne Passwort auf den SSH-Server zugreifen.

Vorgehen

1. SSH-Server in FreeIPA integrieren

• Melden Sie sich auf dem SSH-Server an.
• Installieren Sie das FreeIPA-Client-Paket:
  • *apt install freeipa-client* (für Debian/Ubuntu)
  • *yum install ipa-client* (für RHEL/CentOS)
• Führen Sie den FreeIPA-Client-Installationsbefehl aus, um den Server in die FreeIPA-Domäne aufzunehmen:
  • *ipa-client-install --mkhomedir*
  • Befolgen Sie die Anweisungen und geben Sie die FreeIPA-Server-Domain an (z. B. *lab34.linuggs.de*).
  • Stellen Sie sicher, dass die Integration erfolgreich abgeschlossen ist.

2. Kerberos-Ticket vom Client abrufen

• Stellen Sie sicher, dass der Client ebenfalls in der FreeIPA-Domäne ist und den FreeIPA-Client installiert hat.
• Holen Sie sich ein Kerberos-Ticket mit folgendem Befehl:
  • *kinit benutzername*
  • Ersetzen Sie *benutzername* durch den Namen des Benutzers in FreeIPA.
• Überprüfen Sie, ob das Ticket erfolgreich abgerufen wurde:
  • *klist*
  • Das Ticket sollte in der Ausgabe aufgelistet sein.

3. Passwortloser SSH-Zugriff vom Client auf den Server

• Auf dem SSH-Server:
  • Stellen Sie sicher, dass Kerberos-Authentifizierung in der SSH-Konfiguration aktiviert ist.
  • Öffnen Sie die Datei */etc/ssh/sshd_config* und stellen Sie sicher, dass folgende Zeilen enthalten sind:
    • *KerberosAuthentication yes*
    • *GSSAPIAuthentication yes*
  • Starten Sie den SSH-Dienst neu:
    • *systemctl restart sshd*

• Auf dem Client:
  • Versuchen Sie, sich ohne Passwort auf den SSH-Server zu verbinden:
    • *ssh benutzername@ssh-server*
  • Wenn alles korrekt konfiguriert ist und das Kerberos-Ticket vorhanden ist, sollte keine Passwortabfrage erfolgen.