How to setup Fermi Krberos
Desktop PCをstatic IPでレジスターする。
http://appora.fnal.gov/pls/default/node_registration.html
この時subnet/Areaは、例えば131.225.176.0 とかにする。
sshd をdisableしてネットワークに継ぐ
/etc/sshd_config の設定を以下のように変更(
CernCentOS7の例)
--- sshd_config 2019-02-19 17:13:33.599951233 +0100
+++ sshd_config_orig 2019-02-19 05:51:14.000000000 +0100
@@ -39,7 +39,7 @@
#Authentication:
#LoginGraceTime 2m
-PermitRootLogin no
+PermitRootLogin yes
#StrictModes no
#MaxAuthTries 6
#MaxSessions 10
@@ -66,7 +66,7 @@
PasswordAuthentication no
# Change to no to disable s/key passwords
-ChallengeResponseAuthentication no
+ChallengeResponseAuthentication yes
# Kerberos options
#KerberosAuthentication no
@@ -80,7 +80,7 @@
#GSSAPICleanupCredentials yes
GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
-GSSAPIKeyExchange yes
+#GSSAPIKeyExchange no
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
@@ -91,7 +91,7 @@
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
-UsePAM no
+UsePAM yes
# Accept locale-related environment variables
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
これでsshd をenableして、他のPCからログインをしてみる。
passwd を聞かれたらkerberize されてないので直にsshd をオフにする。正しく設定できていると、
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).
access したいマシーンをkerberizeするために申請を出す。
https://fermi.service-now.com/wp/?id=evg_home
ここで、 access to kerberized Machines をサーチして、申請画面で、Host and FTP Principalsにチェックhost名を入れてsubmit
passwdができたら、
kadmin -p host/atlaspc10.fnal.gov -q "ktadd host/atlaspc10.fnal.gov"
でパスワードを打って登録。(一度間違えると二度と使えないので注意)
クライアントのPCで kinit [user]@FNAL.GOV でパスワードを打つ、あとは普通にssh でログインできる。
--
Koji Nakamura - 2019-02-19
Comments