Kerberos autentification SSH

Требуется правильная работа NTP и dns записи в зоне.

192.168.1.11 kbserver.example.com
192.168.1.12 kbclient.example.com


Требуется установить пакеты:
# yum install -y krb5-workstation pam_krb5

В файле /etc/krb5.conf  нужно настроить подключение к домену.

[libdefaults]
default_realm = TEST.COM

[realms]
TESTCOM.COM = {
kdc = dc.test.com
default_domain = test.com
admin_server = dc.test.com
}

[domain_realm]
.test.com = TEST.COM
test.com = TEST.COM

В файле /etc/ssh/ssh_config раскоментировать строчки:

GSSAPIAuthentication yes
GSSAPIDelegateCredentials yes

перезапуск ssh

# systemctl reload sshd

Конфигурируем PAM модуль

# authconfig --enablekrb5 --update

тест

# su - user01
$ kinit
Password for user01@EXAMPLE.COM: user01
$ klist
Ticket cache: KEYRING:persistent:1000:1000
Default principal: user01@EXAMPLE.COM

Valid starting Expires Service principal
07/22/2014 17:20:15 07/23/2014 17:19:54 krbtgt/EXAMPLE.COM@EXAMPLE.COM
 renew until 07/22/2014 17:19:54
$ ssh kbserver.example.com

так же требуется ограничить доступ по ssh к серверу
для этого используются параметры в файле /etc/ssh.sshd_config
AllowUsers root
AllowGroups it root
группа root нужна.

Запись опубликована в рубрике Новости, Общее. Добавьте в закладки постоянную ссылку.