How to setup Fermi Krberos

Desktop PCをstatic IPでレジスターする。

http://appora.fnal.gov/pls/default/node_registration.html

この時subnet/Areaは、例えば131.225.176.0 とかにする。

sshd をdisableしてネットワークに継ぐ

/etc/sshd_config の設定を以下のように変更(CernCentOS7の例)

--- sshd_config    2019-02-19 17:13:33.599951233 +0100
+++ sshd_config_orig    2019-02-19 05:51:14.000000000 +0100
@@ -39,7 +39,7 @@
 #Authentication:
 
 #LoginGraceTime 2m
-PermitRootLogin no
+PermitRootLogin yes
 #StrictModes no
 #MaxAuthTries 6
 #MaxSessions 10
@@ -66,7 +66,7 @@
 PasswordAuthentication no
 
 # Change to no to disable s/key passwords
-ChallengeResponseAuthentication no
+ChallengeResponseAuthentication yes
 
 # Kerberos options
 #KerberosAuthentication no
@@ -80,7 +80,7 @@
 #GSSAPICleanupCredentials yes
 GSSAPICleanupCredentials yes
 #GSSAPIStrictAcceptorCheck yes
-GSSAPIKeyExchange yes
+#GSSAPIKeyExchange no
 
 # Set this to 'yes' to enable PAM authentication, account processing,
 # and session processing. If this is enabled, PAM authentication will
@@ -91,7 +91,7 @@
 # If you just want the PAM account and session checks to run without
 # PAM authentication, then enable this but set PasswordAuthentication
 # and ChallengeResponseAuthentication to 'no'.
-UsePAM no
+UsePAM yes
 
 # Accept locale-related environment variables
 AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES

これでsshd をenableして、他のPCからログインをしてみる。

passwd を聞かれたらkerberize されてないので直にsshd をオフにする。正しく設定できていると、 Permission denied (publickey,gssapi-keyex,gssapi-with-mic).

access したいマシーンをkerberizeするために申請を出す。

https://fermi.service-now.com/wp/?id=evg_home

ここで、 access to kerberized Machines をサーチして、申請画面で、Host and FTP Principalsにチェックhost名を入れてsubmit

passwdができたら、

kadmin -p host/atlaspc10.fnal.gov -q "ktadd host/atlaspc10.fnal.gov"
でパスワードを打って登録。(一度間違えると二度と使えないので注意)

クライアントのPCで kinit [user]@FNAL.GOV でパスワードを打つ、あとは普通にssh でログインできる。

-- Koji Nakamura - 2019-02-19

Comments

<--/commentPlugin-->