Wichtig

• Clients und Server sollten die korrekte Uhrzeit haben und sowohl A- als auch PTR-Einträge im DNS korrekt auflösen können.

SSH-Server

Anpassung von /etc/ssh/sshd_config

# GSSAPI-Optionen
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
GSSAPIKeyExchange yes
GSSAPIStoreCredentialsOnRekey yes

Diese Einstellungen aktivieren die GSSAPI-Authentifizierung für SSH, die für Kerberos benötigt wird.

Generieren einer Keytab-Datei

• net ads keytab create -U administrator

Dieser Befehl erstellt eine Keytab-Datei für den Server unter Verwendung der Anmeldedaten des Administrators. Die Keytab wird benötigt, damit der SSH-Server die Kerberos-Tickets verarbeiten kann.

SSH-Client

Anpassung von /etc/ssh/ssh_config

GSSAPIAuthentication yes
GSSAPIDelegateCredentials yes
GSSAPIKeyExchange yes
GSSAPIRenewalForcesRekey yes
GSSAPITrustDNS yes

Diese Konfiguration aktiviert die GSSAPI-Authentifizierung auf dem Client und erlaubt das Weiterleiten der Anmeldeinformationen (Delegation) sowie das Erzwingen einer Neukey-Erstellung bei der Ticket-Erneuerung.

Erforderliche Einstellung in smb.conf

• kerberos method = secrets and keytab

Dies teilt dem System mit, die Kerberos-Authentifizierung über die Keytab-Datei zu verwenden, die mit `net ads keytab create` erstellt wurde.

Erstellen der Datei /etc/security/pam_winbind.conf

krb5_auth = yes
krb5_ccache_type = FILE

Diese Konfiguration ermöglicht die Kerberos-Authentifizierung und legt fest, dass der Credential-Cache in einer Datei gespeichert wird. Dies ist notwendig, um die Kerberos-Tickets für die Authentifizierung zu speichern und zu verwalten.