Freeipa Projekt: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (18 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 5: | Zeile 5: | ||
** Vom Client aus ein Kerberos-Ticket abrufen. | ** Vom Client aus ein Kerberos-Ticket abrufen. | ||
** Vom Client aus ohne Passwort auf den SSH-Server zugreifen. | ** Vom Client aus ohne Passwort auf den SSH-Server zugreifen. | ||
| + | =Schaubild= | ||
| + | ==Aufnahme in die Domain== | ||
| + | {{#drawio:kerberos-2}} | ||
| + | ==Erstellen des SPN, des PSK auf dem FreeIPA und eintragen dieser Werte in die Keytab== | ||
| + | {{#drawio:kerberos-3}} | ||
| + | ==Authentifizierung== | ||
| + | {{#drawio:kerberos-1}} | ||
| + | |||
= Vorgehen = | = Vorgehen = | ||
| − | |||
== SSH-Server in FreeIPA integrieren == | == SSH-Server in FreeIPA integrieren == | ||
| − | + | === Melden Sie sich auf dem SSH-Server an=== | |
* Installieren Sie das FreeIPA-Client-Paket: | * Installieren Sie das FreeIPA-Client-Paket: | ||
** '''apt install freeipa-client''' (für Debian/Ubuntu) | ** '''apt install freeipa-client''' (für Debian/Ubuntu) | ||
| Zeile 14: | Zeile 21: | ||
* Führen Sie den FreeIPA-Client-Installationsbefehl aus, um den Server in die FreeIPA-Domäne aufzunehmen: | * Führen Sie den FreeIPA-Client-Installationsbefehl aus, um den Server in die FreeIPA-Domäne aufzunehmen: | ||
** '''ipa-client-install --mkhomedir''' | ** '''ipa-client-install --mkhomedir''' | ||
| − | ** Befolgen Sie die Anweisungen und geben Sie die FreeIPA-Server-Domain an (z. B. '''lab34. | + | ** Befolgen Sie die Anweisungen und geben Sie die FreeIPA-Server-Domain an (z. B. '''lab34.int'''). |
** Stellen Sie sicher, dass die Integration erfolgreich abgeschlossen ist. | ** Stellen Sie sicher, dass die Integration erfolgreich abgeschlossen ist. | ||
| − | = | + | === Passwortloser SSH-Zugriff vom Client auf den Server (Dies geschieht automatisch) === |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | == Passwortloser SSH-Zugriff vom Client auf den Server == | ||
* Auf dem SSH-Server: | * Auf dem SSH-Server: | ||
** Stellen Sie sicher, dass Kerberos-Authentifizierung in der SSH-Konfiguration aktiviert ist. | ** Stellen Sie sicher, dass Kerberos-Authentifizierung in der SSH-Konfiguration aktiviert ist. | ||
| Zeile 34: | Zeile 32: | ||
** Starten Sie den SSH-Dienst neu: | ** Starten Sie den SSH-Dienst neu: | ||
*** '''systemctl restart sshd''' | *** '''systemctl restart sshd''' | ||
| + | *[[Freeipa Client Installation]] | ||
| + | == Kerberos-Ticket vom Client abrufen == | ||
| + | === Melden Sie sich auf dem Client an=== | ||
| + | * Installieren Sie das FreeIPA-Client-Paket: | ||
| + | ** '''apt install freeipa-client''' (für Debian/Ubuntu) | ||
| + | ** '''yum install ipa-client''' (für RHEL/CentOS) | ||
| + | * Führen Sie den FreeIPA-Client-Installationsbefehl aus, um den Server in die FreeIPA-Domäne aufzunehmen: | ||
| + | ** '''ipa-client-install --mkhomedir ''' | ||
| + | ** Befolgen Sie die Anweisungen und geben Sie die FreeIPA-Server-Domain an (z. B. '''lab34.int'''). | ||
| + | ** Stellen Sie sicher, dass die Integration erfolgreich abgeschlossen ist. | ||
| + | * Holen Sie sich ein Kerberos-Ticket mit folgendem Befehl: | ||
| + | ** '''kinit benutzername''' | ||
| + | ** Ersetzen Sie '''benutzername''' durch den Namen des Benutzers in FreeIPA. | ||
| + | * Überprüfen Sie, ob das Ticket erfolgreich abgerufen wurde: | ||
| + | ** '''klist''' | ||
| + | ** Das Ticket sollte in der Ausgabe aufgelistet sein. | ||
* Auf dem Client: | * Auf dem Client: | ||
** Versuchen Sie, sich ohne Passwort auf den SSH-Server zu verbinden: | ** Versuchen Sie, sich ohne Passwort auf den SSH-Server zu verbinden: | ||
*** '''ssh benutzername@ssh-server''' | *** '''ssh benutzername@ssh-server''' | ||
** Wenn alles korrekt konfiguriert ist und das Kerberos-Ticket vorhanden ist, sollte keine Passwortabfrage erfolgen. | ** Wenn alles korrekt konfiguriert ist und das Kerberos-Ticket vorhanden ist, sollte keine Passwortabfrage erfolgen. | ||
Aktuelle Version vom 17. Oktober 2024, 08:06 Uhr
Ziel
- Wir haben FreeIPA aufgesetzt.
- Nun wollen wir folgendes umsetzen:
- Einen SSH-Server in FreeIPA integrieren.
- Vom Client aus ein Kerberos-Ticket abrufen.
- Vom Client aus ohne Passwort auf den SSH-Server zugreifen.
Schaubild
Aufnahme in die Domain
Erstellen des SPN, des PSK auf dem FreeIPA und eintragen dieser Werte in die Keytab
Authentifizierung
![Bearbeiten](javascript:editDrawio("1074927725", "kerberos-2.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("686059103", "kerberos-3.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("285906726", "kerberos-1.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
Vorgehen
SSH-Server in FreeIPA integrieren
Melden Sie sich auf dem SSH-Server an
- Installieren Sie das FreeIPA-Client-Paket:
- apt install freeipa-client (für Debian/Ubuntu)
- yum install ipa-client (für RHEL/CentOS)
- Führen Sie den FreeIPA-Client-Installationsbefehl aus, um den Server in die FreeIPA-Domäne aufzunehmen:
- ipa-client-install --mkhomedir
- Befolgen Sie die Anweisungen und geben Sie die FreeIPA-Server-Domain an (z. B. lab34.int).
- Stellen Sie sicher, dass die Integration erfolgreich abgeschlossen ist.
Passwortloser SSH-Zugriff vom Client auf den Server (Dies geschieht automatisch)
- Auf dem SSH-Server:
- Stellen Sie sicher, dass Kerberos-Authentifizierung in der SSH-Konfiguration aktiviert ist.
- Öffnen Sie die Datei /etc/ssh/sshd_config und stellen Sie sicher, dass folgende Zeilen enthalten sind:
- KerberosAuthentication yes
- GSSAPIAuthentication yes
- Starten Sie den SSH-Dienst neu:
- systemctl restart sshd
- Freeipa Client Installation
Kerberos-Ticket vom Client abrufen
Melden Sie sich auf dem Client an
- Installieren Sie das FreeIPA-Client-Paket:
- apt install freeipa-client (für Debian/Ubuntu)
- yum install ipa-client (für RHEL/CentOS)
- Führen Sie den FreeIPA-Client-Installationsbefehl aus, um den Server in die FreeIPA-Domäne aufzunehmen:
- ipa-client-install --mkhomedir
- Befolgen Sie die Anweisungen und geben Sie die FreeIPA-Server-Domain an (z. B. lab34.int).
- Stellen Sie sicher, dass die Integration erfolgreich abgeschlossen ist.
- Holen Sie sich ein Kerberos-Ticket mit folgendem Befehl:
- kinit benutzername
- Ersetzen Sie benutzername durch den Namen des Benutzers in FreeIPA.
- Überprüfen Sie, ob das Ticket erfolgreich abgerufen wurde:
- klist
- Das Ticket sollte in der Ausgabe aufgelistet sein.
- Auf dem Client:
- Versuchen Sie, sich ohne Passwort auf den SSH-Server zu verbinden:
- ssh benutzername@ssh-server
- Wenn alles korrekt konfiguriert ist und das Kerberos-Ticket vorhanden ist, sollte keine Passwortabfrage erfolgen.
- Versuchen Sie, sich ohne Passwort auf den SSH-Server zu verbinden: