Version vom 7. Oktober 2024, 05:07 Uhr

Wichtig

Clients und Server sollten die korrekte Uhrzeit haben und sowohl A- als auch PTR-Einträge im DNS korrekt auflösen können.

SSH-Server

Anpassung von /etc/ssh/sshd_config

# GSSAPI-Optionen
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
GSSAPIKeyExchange yes
GSSAPIStoreCredentialsOnRekey yes

Diese Einstellungen aktivieren die GSSAPI-Authentifizierung für SSH, die für Kerberos benötigt wird.

Generieren einer Keytab-Datei

net ads keytab create -U administrator

Dieser Befehl erstellt eine Keytab-Datei für den Server unter Verwendung der Anmeldedaten des Administrators. Die Keytab wird benötigt, damit der SSH-Server die Kerberos-Tickets verarbeiten kann.

SSH-Client

Anpassung von /etc/ssh/ssh_config

GSSAPIAuthentication yes
GSSAPIDelegateCredentials yes
GSSAPIKeyExchange yes
GSSAPIRenewalForcesRekey yes
GSSAPITrustDNS yes

Diese Konfiguration aktiviert die GSSAPI-Authentifizierung auf dem Client und erlaubt das Weiterleiten der Anmeldeinformationen (Delegation) sowie das Erzwingen einer Neukey-Erstellung bei der Ticket-Erneuerung.

Erforderliche Einstellung in smb.conf

kerberos method = secrets and keytab

Dies teilt dem System mit, die Kerberos-Authentifizierung über die Keytab-Datei zu verwenden, die mit `net ads keytab create` erstellt wurde.

Erstellen der Datei /etc/security/pam_winbind.conf

krb5_auth = yes
krb5_ccache_type = FILE

Diese Konfiguration ermöglicht die Kerberos-Authentifizierung und legt fest, dass der Credential-Cache in einer Datei gespeichert wird. Dies ist notwendig, um die Kerberos-Tickets für die Authentifizierung zu speichern und zu verwalten.

@@ Zeile 1: / Zeile 1: @@
-=important=
+= Wichtig =
-client and servers should have the correct time and should resolv A and PTR record on dns
+* Clients und Server sollten die korrekte Uhrzeit haben und sowohl A- als auch PTR-Einträge im DNS korrekt auflösen können.
-=ssh-server=
-==modification /etc/ssh/sshd_config==
+= SSH-Server =
+== Anpassung von /etc/ssh/sshd_config ==
 <pre>
-# GSSAPI options
+# GSSAPI-Optionen
 GSSAPIAuthentication yes
 GSSAPICleanupCredentials yes
@@ Zeile 10: / Zeile 11: @@
 GSSAPIStoreCredentialsOnRekey yes
 </pre>
-==generate a keytab-file==
-net ads keytab create -U administrator
+Diese Einstellungen aktivieren die GSSAPI-Authentifizierung für SSH, die für Kerberos benötigt wird.
-=ssh-client=
-==modification /etc/ssh/ssh_config==
+== Generieren einer Keytab-Datei ==
+* net ads keytab create -U administrator
+Dieser Befehl erstellt eine Keytab-Datei für den Server unter Verwendung der Anmeldedaten des Administrators. Die Keytab wird benötigt, damit der SSH-Server die Kerberos-Tickets verarbeiten kann.
+= SSH-Client =
+== Anpassung von /etc/ssh/ssh_config ==
 <pre>
 GSSAPIAuthentication yes
@@ Zeile 22: / Zeile 29: @@
 </pre>
+Diese Konfiguration aktiviert die GSSAPI-Authentifizierung auf dem Client und erlaubt das Weiterleiten der Anmeldeinformationen (Delegation) sowie das Erzwingen einer Neukey-Erstellung bei der Ticket-Erneuerung.
+== Erforderliche Einstellung in smb.conf ==
+* kerberos method = secrets and keytab
-==required in smb.conf==
+Dies teilt dem System mit, die Kerberos-Authentifizierung über die Keytab-Datei zu verwenden, die mit `net ads keytab create` erstellt wurde.
- kerberos method = secrets and keytab
-==create /etc/security/pam_winbind.conf ==
+== Erstellen der Datei /etc/security/pam_winbind.conf ==
- krb5_auth = yes
+<pre>
- krb5_ccache_type = FILE
+krb5_auth = yes
+krb5_ccache_type = FILE
+</pre>
-*https://wiki.samba.org/index.php/Authenticating_other_services_against_AD
+Diese Konfiguration ermöglicht die Kerberos-Authentifizierung und legt fest, dass der Credential-Cache in einer Datei gespeichert wird. Dies ist notwendig, um die Kerberos-Tickets für die Authentifizierung zu speichern und zu verwalten.
-*http://trabauer.com/?p=383

Kerberos ssh samba: Unterschied zwischen den Versionen