Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.
Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung | ||
prebuilt_systems:ucs:kerberos_keytab_erstellen_und_debug_in_ucs [2021/06/24 19:53] – loma | prebuilt_systems:ucs:kerberos_keytab_erstellen_und_debug_in_ucs [2023/09/26 23:26] (aktuell) – loma | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== Kerberos Keytab erstellen und Debug in UCS ====== | ====== Kerberos Keytab erstellen und Debug in UCS ====== | ||
- | Hauseigenes Apt-Repo: [[https:// | + | Du möchtest dich gerne für unsere Hilfe erkenntlich zeigen 8-o. Gerne. Wir bedanken uns bei dir für deine Spende! LOL \\ |
+ | [[https:// | ||
+ | \\ | ||
+ | Hauseigenes Apt-Repo: [[https:// | ||
+ | \\ | ||
+ | GITLAB Enterprise: [[https:// | ||
\\ | \\ | ||
\\ | \\ | ||
Zeile 7: | Zeile 12: | ||
Handelt es sich nicht um eine Hostauth, muss für jede Funktion ein expliziter User in UCS angelegt werden, z.B. HTTP in diesem Beispiel. Der Host/VM wo der Dienst den man mit dem Ticketverahren erreichen möchte, muss nicht zwingend an die Domäne als solches gebunden sein. Es genügt auch nur den Dienst zu authentifizieren. Je nach Situation macht es die direkte Domänenanbindung natürlich leichter. | Handelt es sich nicht um eine Hostauth, muss für jede Funktion ein expliziter User in UCS angelegt werden, z.B. HTTP in diesem Beispiel. Der Host/VM wo der Dienst den man mit dem Ticketverahren erreichen möchte, muss nicht zwingend an die Domäne als solches gebunden sein. Es genügt auch nur den Dienst zu authentifizieren. Je nach Situation macht es die direkte Domänenanbindung natürlich leichter. | ||
- | Keytab mittels Sambatools vom Masterserver exportieren. Z.B. auch für Kerberosticketlogin SSH. Hier für den spezifischen Host wiki.deepdoc.at. | + | Keytab mittels Sambatools vom Masterserver exportieren. Z.B. auch für Kerberosticketlogin SSH und HTTP. Hier für den spezifischen Host wiki.deepdoc.at. |
< | < | ||
samba-tool user create krb-deepdoc-http --description=" | samba-tool user create krb-deepdoc-http --description=" | ||
Zeile 14: | Zeile 19: | ||
samba-tool spn add HTTP/ | samba-tool spn add HTTP/ | ||
samba-tool domain exportkeytab --principal=HTTP/ | samba-tool domain exportkeytab --principal=HTTP/ | ||
+ | samba-tool domain exportkeytab --principal=host/ | ||
</ | </ | ||
Das File kann man dann auf dem gewünschten Host in das Verzeichnis seiner Wahl kopieren. z.b. ''/ | Das File kann man dann auf dem gewünschten Host in das Verzeichnis seiner Wahl kopieren. z.b. ''/ | ||
Zeile 20: | Zeile 26: | ||
</ | </ | ||
Das dieser Befehl nicht auf allen Systemen funktioniert, | Das dieser Befehl nicht auf allen Systemen funktioniert, | ||
+ | |||
+ | Um am UCS-Server die SPN eines Benutzer anzuzeigen bedient man sich folgendem Befehl: | ||
+ | samba-tool spn list < | ||
+ | |||
+ | Der folgende Befehl zeigt die gesetzten Verschlüsselungsmethoden eines User für Kerberos an: | ||
+ | net ads enctypes set krb-deepdoc-http | ||
+ | Der Ouput könnte so aussehen: | ||
+ | < | ||
+ | [ ] 0x00000009 DES-CBC-CRC | ||
+ | [ ] 0x00000001 DES-CBC-MD5 | ||
+ | [X] 0x00000003 RC4-HMAC | ||
+ | [X] 0x00000008 AES128-CTS-HMAC-SHA1-96 | ||
+ | [X] 0x00000011 AES256-CTS-HMAC-SHA1-96 | ||
+ | [ ] 0x00000010 AES256-CTS-HMAC-SHA1-96-SK | ||
+ | [ ] 0x00020000 RESOURCE-SID-COMPRESSION-DISABLED | ||
+ | </ | ||
+ | |||
+ | Um am UCS Masterserver zu sehen welche Principal es der Zeit gibt, verwendest du diesen Befehl: | ||
+ | <code bash> | ||
+ | univention-s4search ' | ||
+ | </ | ||
+ | |||
+ | LDAP-Search in UCS mit TLS | ||
+ | ldapsearch -H ldaps:// | ||
===== Quellen ===== | ===== Quellen ===== |