[FUG-BR] Tickets de Kerberos após login por ssh

Vinícius Ferrão ferrao em if.ufrj.br
Quinta Maio 22 13:08:07 BRT 2014 

Opa,
Respostas inline:

On May 22, 2014, at 9:12, Nicolas Wildner <nicolas em tbl.com.br> wrote:

> ----- Mensagem original -----
>> De: "Vinícius Ferrão" <ferrao em if.ufrj.br>
>> Para: freebsd em fug.com.br
>> Enviadas: Quinta-feira, 22 de Maio de 2014 1:43:13
>> Assunto: [FUG-BR] Tickets de Kerberos após login por ssh
>> 
>> Oi pessoal,
>> 
>> Estou apanhando para configurar um servidor FreeBSD de forma
>> “kerberizada”.
>> 
>> Comecei do zero novamente, visto que não tive sucessos com o pacote
>> security/sssd.
>> 
>> De inicio só quero autenticar na máquina usando o Kerberos 5.
>> Configurei tudo corretamente segundo a documentação do FreeBSD e
>> habilitei o suporte ao Kerberos dentro do /etc/pam.d/sshd para ser
>> possível logar por ssh usando Kerberos.
>> 
>> Até aí tudo funciona. Mas após o login eu não tenho nenhum ticket
>> pronto para ser utilizado. Preciso digitar kinit para receber um
>> ticket e entrar novamente com a minha senha.
>> 
>> Como fazer para o ticket estar disponível imediatamente após o login?
>> 
>> Abraços,
>> 
>> PS: Eu não tenho prática com o Heimdal, só usava o mit-krb5; duvido
>> que seja o caso, mas não sei exatamente se esse é o problema.
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> 
> 
> Opa
> 
> 
> 1- Qual o max lifetime to ticket Kerberos que tu configuraste?

7 dias. Coloco logo todo o /etc/krb5.conf porque é pequeno:

root em sssd-test:~ # cat /etc/krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log

[libdefaults]
default_realm = LOCAL.IQ.UFRJ.BR
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = yes

> 2 - De uma olhada neste trecho da documentação:
> To use long ticket lifetimes, such as a week, when using OpenSSH 
> to connect to the machine where the ticket is stored, make sure 
> that Kerberos TicketCleanup is set to no in sshd_config or else 
> tickets will be deleted at log out
> 
> O que deve estar te acontecendo é isto. O Ticket é deletado logo
> após o logout independente do tempo de validade dele.

O problema que o ticket não é criado. Eu dou ssh para a máquina, faço o login com a senha do servidor Kerberos, mas eu dou um klist e não aparece nada.

> 
> Att,
> 
> 
> Nícolas Wildner
> Analista de Infraestrutura de TI - TBL BGV
> Transportes Bertolini Ltda.
> www.tbl.com.br
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Abraços,

PS: Caso esteja em duvida, meu servidor Kerberos é de um sistema operacional que não deve se pronunciar o nome. :)

Mais detalhes sobre a lista de discussão freebsd