Fixme käyttää MIT:n kerberos-toteutusta (krb) ja OpenLdapia (slapd). Ldap on käyttäjätietokanta ja kerberos autentikaatioprotokolla.

Kerberos mahdollistaa saman salasanan käyttämisen monissa palveluissa (useamman koneen kirjautuminen, imap, jne.), ja lisäksi kerran autentikoituneen käyttäjän ei tarvitse autentikoitua uudestaan. Näin esimerkiksi imap-yhteyden avaaminen fixme.fi:lle kirjautumisen jälkeen ei vaadi salasanaa. Kerberos-autentikaatio toimii myös ssh-yhteyksissä luotettujen hostien (kuten fixme.fi ja hypo.fixme.fi) välillä.

Kerberoksen toiminta ja käyttö

• klist -- näyttää sinulla olevat tiketit (pääsyt palveluihin)
  • krbtgt on ticket-granting ticket, jolla saat palvelutikettejä. jos se vanhentuu, joudut ajamaan kinitin uusiksi
• ssh -v fixme.fi (varmista että Authentication succeeded (gssapi-with-mic).)
  • pääset myös hypolle
  • flägillä -K otat kerberos-tiketit mukaasi (vastaavasti kuin ssh agent forwarding)
• mutt ja pine fixme.fi:llä autentikoivat kerberoksella
• salasanan vaihto: passwd kuten muutenkin
• salasanan resetoiminen: sudo kadmin.local ja komento cpw

Ldap

• ldapwhoami: näyttää tietojasi
• ldapsearch: etsi ldap-tietokannasta
  • esim ldapsearch title=Puheenjohtaja
• ldapvi: tietokannan muokkaaminen
  • esim ldapvi uid=$USER

Kerberos omalla virtuaalikoneella

1. Asenna debian-paketti krb5-user
   • debconf kysyy realmia, aseta FIXME.FI, mutta vain jos se on konffattu kysymään prioriteetin low-kysymyksiä. Ks. dpkg-reconfigure debconf
   • jos palvelimia kysytään, ne kaikki ovat fixme.fi. Tuoreemmat paketin versiot eivät ilmeisesti turvallisuussyistä hae palvelimia dns:llä.
2. Kokeile kinit ja sen jälkeen klist, sinulla pitäisi olla kerberos-lippu

Tämän jälkeen voit kirjautua lipullasi ssh:n yli yhteisille virtuaalikoneille, pääset imapin yli sähköposteihisi käsiksi (kunhan konffaat meiliohjelmasi) jne.

Saumattomampaa Kerberos-elämystä varten seuraa seuraavia ohjeita.

Kerberoksen integroiminen kirjautumiseen

Seurattuasi näitä ohjeita

• Käyttäjä voi kirjautua sisään kerberos-salasanallaan ja saa kerberos-lipun tämän jälkeen
• Kerberos hoitaa vain autentikoinnin, joten käyttäjän täytyy olla /etc/passwd tiedostossasi päästäkseen kirjautumaan

Ohjeet:

1. Asenna kerberos kuten yllä
2. Muokkaa tiedostoja /etc/pam.d/common-* zerg.fixme.fi:n mallin mukaisiksi (pam_krb5.so-rivit)
3. Lisää /etc/ssh/sshd_config-tiedostoon GSSAPIAuthentication yes
4. Koita kirjautua sisään ssh:n yli, ja tarkista klist:llä että olet saanut kerberos-lipun

Kerberos host principal

Jos haluat että koneellesi voi kirjautua kerberos-lipulla (ts. ilman salasanaa), seuraa näitä ohjeita.

Tarvitset kerberos host principalin. (Eli kerberos-palvelun, joka vastaa hostiasi). Pyydä host principalia adminilta jos haluat sellaisen.

Admin tekee:

1. kadmin (todnäk. kadmin.local)
2. kadminissa: ank -randkey host/<halutun hostin tarkka reverse>
3. kadminissa: ktadd -k <jokupolku>/krb5.keytab host/<halutun hostin tarkka reverse>
4. antaa krb5.keytab-tiedoston käyttäjälle

Käyttäjä tekee:

1. Kopioi krb5.keytab-tiedoston /etc:hen ja varmistaa, että sen oikeudet ovat

   -rw------- root root

Uusien käyttäjien principalien luonti

Ks. addmissingprincipals.sh-skripti arkistossa