SSO mit Kerberos// MacOSX & OpenDirectory vs. CentOS & OpenSSH

23/02/2012 - 13:59 von Daniel Meszaros | Report spam
Hi,

vor làngerer Zeit habe ich mal ein SSO-Setup mit Debian Squeeze mit
einem Windows 2003 SBS konfiguriert. Nun versuche ich mich an einem
CentOS 6.2 mit Mac OS X SL Server. Ziel ist es schlussendlich, auf der
CentOS-Maschine Kerio Connect mit OD-Authentifizierung laufen zu haben.
Als grundlegender Funktiontest soll mir OpenSSH dienen.

Ich orientiere mich dabei an folgender Lösungsbeschreibung:
http://www.copiouscom.com/2010/05/o...rectories/

Meine Schritte waren bislang wie folgt:

1. Auf "odserver": Einrichtung der OD mitsamt einiger Test-User-Accounts

2. Auf "keriotest":
# yum install authconfig-gtk krb5-auth-dialog krb5-devel krb5-libs
pam_krb5-2.2.14-10 krb5-workstation openssh-ldap pam_ldap

3. Auf "keriotest":
Grafisches Setup der LDAP/Kerberos Authentifizierung, àhnlich der o.g.
Anleitung

4. Auf "odserver":
# kadmin.local -q "addprinc diradmin/admin"
# kadmin.local -q "addprinc host/odserver.bla.int"
# kadmin.local -q "addprinc host/keriotest.bla.int"

5. Auf "keriotest":
# kadmin -q "ktadd -k /etc/krb5.keytab host/keriotest.bla.int"
# kinit diradmin
Password for diradmin@ODSERVER.BLA.INT:
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: diradmin@ODSERVER.BLA.INT

Valid starting Expires Service principal
02/23/12 11:31:34 02/23/12 21:31:34
krbtgt/ODSERVER.BLA.INT@ODSERVER.BLA.INT
renew until 03/01/12 11:31:34
# cat /etc/ssh/ssh_config | grep GSSAPI
GSSAPIAuthentication yes
GSSAPIDelegateCredentials yes
GSSAPIKeyExchange yes
GSSAPITrustDNS yes
# cat /etc/ssh/sshd_config | grep GSSAPI
GSSAPIAuthentication yes
GSSAPICleanupCredentials no
# cat /etc/ssh/sshd_config | grep Kerberos
KerberosAuthentication no
KerberosOrLocalPasswd no
KerberosTicketCleanup yes
# service sshd restart

Versuche ich nun, mich als User "diradmin" von einem entfernten
SSH-Client auf "keriotest" anzumelden, so bekomme ich die Fehlermeldung
"Permission denied, please try again." und erhalte folgende Logmeldungen:

Auf "keriotest":
# tail -f /var/log/secure
Feb 23 13:52:26 keriotest sshd[3917]: User diradmin not allowed because
shell /usr/bin/false does not exist
Feb 23 13:52:26 keriotest sshd[3918]: input_userauth_request: invalid
user diradmin
Feb 23 13:52:32 keriotest sshd[3917]: pam_unix(sshd:auth):
authentication failure; logname= uid=0 euid=0 tty=ssh ruser=
rhost.0.0.107 user=diradmin
Feb 23 13:52:32 keriotest sshd[3917]: pam_sss(sshd:auth): authentication
failure; logname= uid=0 euid=0 tty=ssh ruser= rhost.0.0.107 user=diradmin
Feb 23 13:52:32 keriotest sshd[3917]: pam_sss(sshd:auth): received for
user diradmin: 10 (User not known to the underlying authentication module)
Feb 23 13:52:34 keriotest sshd[3917]: Failed password for invalid user
diradmin from 10.0.0.107 port 53262 ssh2

Auf "odserver":
# ApplePasswordServer.Server.log
Feb 23 2012 13:52:48 AUTH2: {0x4f43ab656b8b45670000000200000002,
diradmin} DIGEST-MD5 authentication succeeded.

Ein wenig drehe ich mich gerade im Kreise und hoffe, durch Euch einen
hilfreichen Hinweis zu bekommen, was ggf. falsch konfiguriert ist.

CU,
Mészi.
 

Lesen sie die antworten

#1 Daniel Meszaros
23/02/2012 - 14:39 | Warnen spam
Am 23.02.12 13:59, schrieb Daniel Meszaros:
[...]



Update: Ich habe mal einen Login per Telnet probiert...

# tail -f /var/log/secure
Feb 23 14:31:49 keriotest login: pam_succeed_if(remote:auth): error
retrieving information about user diradmin
Feb 23 14:34:23 keriotest login: pam_securetty(remote:auth): access
denied: tty 'pts/1' is not secure !
Feb 23 14:34:28 keriotest login: pam_unix(remote:auth): check pass; user
unknown
Feb 23 14:34:28 keriotest login: pam_succeed_if(remote:auth): error
retrieving information about user diradmin

Vielleicht hilft Euch das, mir zu helfen. :-/ Ich werde für meinen Teil
parallel weiter suchen.

CU,
Mészi.

Ähnliche fragen