Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.
Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung Nächste ÜberarbeitungBeide Seiten, nächste Überarbeitung | ||
prebuilt_systems:ucs:kerberos_keytab_erstellen_und_debug_in_ucs [2020/04/08 22:30] – loma | prebuilt_systems:ucs:kerberos_keytab_erstellen_und_debug_in_ucs [2023/09/26 15:05] – [Kerberos Keytab erstellen und Debug in UCS] loma | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== Kerberos Keytab erstellen und Debug in UCS ====== | ====== Kerberos Keytab erstellen und Debug in UCS ====== | ||
- | Eine Keytab wird immer wieder mal benötigt, z.B. für Apache und Kerberosauth, oder für SSH mit Kerberos Auth. Diese erstell man Masterserver mit dem Befehl: | + | Du möchtest dich gerne für unsere Hilfe erkenntlich zeigen 8-o. Gerne. Wir bedanken uns bei dir für deine Spende! LOL \\ |
+ | [[https:// | ||
+ | \\ | ||
+ | Hauseigenes Apt-Repo: [[https:// | ||
+ | \\ | ||
+ | GITLAB Enterprise: [[https:// | ||
+ | \\ | ||
+ | \\ | ||
+ | Eine Keytab wird immer wieder mal benötigt, z.B. für Apache und Kerberosauth. | ||
- | Keytab mittels Sambatools vom Masterserver exportieren. Z.B. auch für Kerberosticketlogin SSH. Hier für den spezifischen Host wiki.deepdoc.at. | + | Handelt es sich nicht um eine Hostauth, muss für jede Funktion ein expliziter User in UCS angelegt werden, z.B. HTTP in diesem Beispiel. Der Host/VM wo der Dienst den man mit dem Ticketverahren erreichen möchte, muss nicht zwingend an die Domäne als solches gebunden sein. Es genügt auch nur den Dienst zu authentifizieren. Je nach Situation macht es die direkte Domänenanbindung natürlich leichter. |
+ | |||
+ | Keytab mittels Sambatools vom Masterserver exportieren. Z.B. auch für Kerberosticketlogin SSH und HTTP. Hier für den spezifischen Host wiki.deepdoc.at. | ||
< | < | ||
- | samba-tool | + | samba-tool |
+ | samba-tool user setexpiry krb-deepdoc-http --noexpiry | ||
+ | samba-tool spn add HTTP/deepdoc.at krb-deepdoc-http | ||
+ | samba-tool spn add HTTP/deepdoc.at@OSIT.CC krb-deepdoc-http | ||
+ | samba-tool domain exportkeytab | ||
</ | </ | ||
- | Das File kann man dann auf dem gewünschten Host auf ''/ | + | Das File kann man dann auf dem gewünschten Host in das Verzeichnis seiner Wahl kopieren. z.b. ''/ |
< | < | ||
- | ktutil -k wiki.keytab list | + | ktutil -k / |
</ | </ | ||
- | Lässt man beim Export den Teil '' | + | Das dieser Befehl nicht auf allen Systemen funktioniert, |
- | Mittels LDAP erstellen (ungegestest im Feld) | + | Um am UCS-Server die SPN eines Benutzer anzuzeigen bedient man sich folgendem Befehl: |
- | < | + | samba-tool spn list < |
- | ktutil | + | |
+ | Um am UCS Masterserver zu sehen welche Principal es der Zeit gibt, verwendest du diesen Befehl: | ||
+ | < | ||
+ | univention-s4search ' | ||
</ | </ | ||
- | Den Output kann man dann gut verwenden. | ||
- | FIXME | + | LDAP-Search in UCS mit TLS |
+ | ldapsearch -H ldaps:// | ||
===== Quellen ===== | ===== Quellen ===== |