Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung		 Vorherige Überarbeitung
Nächste ÜberarbeitungBeide Seiten, nächste Überarbeitung
prebuilt_systems:ucs:kerberos_keytab_erstellen_und_debug_in_ucs [2021/06/24 19:56] lomaprebuilt_systems:ucs:kerberos_keytab_erstellen_und_debug_in_ucs [2023/09/26 15:05] – [Kerberos Keytab erstellen und Debug in UCS] loma
Zeile 12: Zeile 12:
 Handelt es sich nicht um eine Hostauth, muss für jede Funktion ein expliziter User in UCS angelegt werden, z.B. HTTP in diesem Beispiel. Der Host/VM wo der Dienst den man mit dem Ticketverahren erreichen möchte, muss nicht zwingend an die Domäne als solches gebunden sein. Es genügt auch nur den Dienst zu authentifizieren. Je nach Situation macht es die direkte Domänenanbindung natürlich leichter.  Handelt es sich nicht um eine Hostauth, muss für jede Funktion ein expliziter User in UCS angelegt werden, z.B. HTTP in diesem Beispiel. Der Host/VM wo der Dienst den man mit dem Ticketverahren erreichen möchte, muss nicht zwingend an die Domäne als solches gebunden sein. Es genügt auch nur den Dienst zu authentifizieren. Je nach Situation macht es die direkte Domänenanbindung natürlich leichter. 
  
-Keytab mittels Sambatools vom Masterserver exportieren. Z.B. auch für Kerberosticketlogin SSH. Hier für den spezifischen Host wiki.deepdoc.at. +Keytab mittels Sambatools vom Masterserver exportieren. Z.B. auch für Kerberosticketlogin SSH und HTTP. Hier für den spezifischen Host wiki.deepdoc.at. 
 <code> <code>
 samba-tool user create krb-deepdoc-http --description="Unprivileged user for the Wiki" --random-password samba-tool user create krb-deepdoc-http --description="Unprivileged user for the Wiki" --random-password
Zeile 25: Zeile 25:
 </code> </code>
 Das dieser Befehl nicht auf allen Systemen funktioniert, wäre die Alternative die Keytab vorübergehend nach ''/etc/krb5.keytab'' zu kopieren. Dort kann man diese mit ''ktutil list'' anzeigen lassen.  Das dieser Befehl nicht auf allen Systemen funktioniert, wäre die Alternative die Keytab vorübergehend nach ''/etc/krb5.keytab'' zu kopieren. Dort kann man diese mit ''ktutil list'' anzeigen lassen. 
 +
 +Um am UCS-Server die SPN eines Benutzer anzuzeigen bedient man sich folgendem Befehl: 
 + samba-tool spn list <username>
  
 Um am UCS Masterserver zu sehen welche Principal es der Zeit gibt, verwendest du diesen Befehl: Um am UCS Masterserver zu sehen welche Principal es der Zeit gibt, verwendest du diesen Befehl:
Zeile 30: Zeile 33:
 univention-s4search '(|(userPrincipalName=*)(servicePrincipalName=*))'   userPrincipalName servicePrincipalName univention-s4search '(|(userPrincipalName=*)(servicePrincipalName=*))'   userPrincipalName servicePrincipalName
 </code> </code>
 +
 +LDAP-Search in UCS mit TLS
 + ldapsearch -H ldaps://dc1.tux.lan:7636 -x -D "uid=benno,cn=users,dc=tux,dc=lan" -W
  
 ===== Quellen ===== ===== Quellen =====