Freeipa Projekt: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 1: | Zeile 1: | ||
| + | = Ziel = | ||
| + | * Wir haben FreeIPA aufgesetzt. | ||
| + | * Nun wollen wir folgendes umsetzen: | ||
| + | ** Einen SSH-Server in FreeIPA integrieren. | ||
| + | ** Vom Client aus ein Kerberos-Ticket abrufen. | ||
| + | ** Vom Client aus ohne Passwort auf den SSH-Server zugreifen. | ||
= Vorgehen = | = Vorgehen = | ||
| − | == SSH-Server in FreeIPA integrieren == | + | == SSH-Server in FreeIPA integrieren == |
* Melden Sie sich auf dem SSH-Server an. | * Melden Sie sich auf dem SSH-Server an. | ||
* Installieren Sie das FreeIPA-Client-Paket: | * Installieren Sie das FreeIPA-Client-Paket: | ||
| − | ** | + | ** *apt install freeipa-client* (für Debian/Ubuntu) |
| − | ** | + | ** *yum install ipa-client* (für RHEL/CentOS) |
* Führen Sie den FreeIPA-Client-Installationsbefehl aus, um den Server in die FreeIPA-Domäne aufzunehmen: | * Führen Sie den FreeIPA-Client-Installationsbefehl aus, um den Server in die FreeIPA-Domäne aufzunehmen: | ||
| − | ** | + | ** *ipa-client-install --mkhomedir* |
| − | ** Befolgen Sie die Anweisungen und geben Sie die FreeIPA-Server-Domain an (z. B. | + | ** Befolgen Sie die Anweisungen und geben Sie die FreeIPA-Server-Domain an (z. B. *lab34.linuggs.de*). |
** Stellen Sie sicher, dass die Integration erfolgreich abgeschlossen ist. | ** Stellen Sie sicher, dass die Integration erfolgreich abgeschlossen ist. | ||
| − | == Kerberos-Ticket vom Client abrufen == | + | == Kerberos-Ticket vom Client abrufen == |
* Stellen Sie sicher, dass der Client ebenfalls in der FreeIPA-Domäne ist und den FreeIPA-Client installiert hat. | * Stellen Sie sicher, dass der Client ebenfalls in der FreeIPA-Domäne ist und den FreeIPA-Client installiert hat. | ||
* Holen Sie sich ein Kerberos-Ticket mit folgendem Befehl: | * Holen Sie sich ein Kerberos-Ticket mit folgendem Befehl: | ||
| − | ** | + | ** *kinit benutzername* |
| − | ** Ersetzen Sie | + | ** Ersetzen Sie *benutzername* durch den Namen des Benutzers in FreeIPA. |
* Überprüfen Sie, ob das Ticket erfolgreich abgerufen wurde: | * Überprüfen Sie, ob das Ticket erfolgreich abgerufen wurde: | ||
| − | ** | + | ** *klist* |
** Das Ticket sollte in der Ausgabe aufgelistet sein. | ** Das Ticket sollte in der Ausgabe aufgelistet sein. | ||
| − | == Passwortloser SSH-Zugriff vom Client auf den Server == | + | == Passwortloser SSH-Zugriff vom Client auf den Server == |
* Auf dem SSH-Server: | * Auf dem SSH-Server: | ||
** Stellen Sie sicher, dass Kerberos-Authentifizierung in der SSH-Konfiguration aktiviert ist. | ** Stellen Sie sicher, dass Kerberos-Authentifizierung in der SSH-Konfiguration aktiviert ist. | ||
| − | ** Öffnen Sie die Datei | + | ** Öffnen Sie die Datei */etc/ssh/sshd_config* und stellen Sie sicher, dass folgende Zeilen enthalten sind: |
| − | *** | + | *** *KerberosAuthentication yes* |
| − | *** | + | *** *GSSAPIAuthentication yes* |
** Starten Sie den SSH-Dienst neu: | ** Starten Sie den SSH-Dienst neu: | ||
| − | *** | + | *** *systemctl restart sshd* |
* Auf dem Client: | * Auf dem Client: | ||
** Versuchen Sie, sich ohne Passwort auf den SSH-Server zu verbinden: | ** Versuchen Sie, sich ohne Passwort auf den SSH-Server zu verbinden: | ||
| − | *** | + | *** *ssh benutzername@ssh-server* |
** Wenn alles korrekt konfiguriert ist und das Kerberos-Ticket vorhanden ist, sollte keine Passwortabfrage erfolgen. | ** Wenn alles korrekt konfiguriert ist und das Kerberos-Ticket vorhanden ist, sollte keine Passwortabfrage erfolgen. | ||
Version vom 7. Oktober 2024, 09:19 Uhr
Ziel
- Wir haben FreeIPA aufgesetzt.
- Nun wollen wir folgendes umsetzen:
- Einen SSH-Server in FreeIPA integrieren.
- Vom Client aus ein Kerberos-Ticket abrufen.
- Vom Client aus ohne Passwort auf den SSH-Server zugreifen.
Vorgehen
SSH-Server in FreeIPA integrieren
- Melden Sie sich auf dem SSH-Server an.
- Installieren Sie das FreeIPA-Client-Paket:
- *apt install freeipa-client* (für Debian/Ubuntu)
- *yum install ipa-client* (für RHEL/CentOS)
- Führen Sie den FreeIPA-Client-Installationsbefehl aus, um den Server in die FreeIPA-Domäne aufzunehmen:
- *ipa-client-install --mkhomedir*
- Befolgen Sie die Anweisungen und geben Sie die FreeIPA-Server-Domain an (z. B. *lab34.linuggs.de*).
- Stellen Sie sicher, dass die Integration erfolgreich abgeschlossen ist.
Kerberos-Ticket vom Client abrufen
- Stellen Sie sicher, dass der Client ebenfalls in der FreeIPA-Domäne ist und den FreeIPA-Client installiert hat.
- Holen Sie sich ein Kerberos-Ticket mit folgendem Befehl:
- *kinit benutzername*
- Ersetzen Sie *benutzername* durch den Namen des Benutzers in FreeIPA.
- Überprüfen Sie, ob das Ticket erfolgreich abgerufen wurde:
- *klist*
- Das Ticket sollte in der Ausgabe aufgelistet sein.
Passwortloser SSH-Zugriff vom Client auf den Server
- Auf dem SSH-Server:
- Stellen Sie sicher, dass Kerberos-Authentifizierung in der SSH-Konfiguration aktiviert ist.
- Öffnen Sie die Datei */etc/ssh/sshd_config* und stellen Sie sicher, dass folgende Zeilen enthalten sind:
- *KerberosAuthentication yes*
- *GSSAPIAuthentication yes*
- Starten Sie den SSH-Dienst neu:
- *systemctl restart sshd*
- Auf dem Client:
- Versuchen Sie, sich ohne Passwort auf den SSH-Server zu verbinden:
- *ssh benutzername@ssh-server*
- Wenn alles korrekt konfiguriert ist und das Kerberos-Ticket vorhanden ist, sollte keine Passwortabfrage erfolgen.
- Versuchen Sie, sich ohne Passwort auf den SSH-Server zu verbinden: