Kerberos

Fra IThjelp
Sideversjon per 9. mar. 2017 kl. 09:22 av Botit (diskusjon | bidrag) (Redaksjon er sentralisert)

UiB bruker MIT Kerberos for autentisering av hjemmekataloger på Unix- og Linux-systemer med NFS4.

UiB bruker også Active Directory - AD (MS Kerberos) og MIT Kerberos i et såkalt Cross Realm-oppsett for single-sign-on. Dette gjør at når du har en kerberosticket i enten UIB.NO eller UNIX.UIB.NO realmene så kan man passordløst logge seg på enkelte tjenester på UiB som er satt opp til dette. Eksempler er vevtjenester som [bs.uib.no] og SSH. For at vevtjenester skal virke må nettleseren settes opp også. Dette er gjort for brukere på sentraldriftede windows- og linuxklienter.

Det er en egen side om kerberos tidsavbrudd for hjemmekatalog under Linux.

Når man autentiserer seg mot et realm får man en ticket granting ticket. Denne ticketen bruker man videre for å få tilgang til tjenester. Det er altså kun snakk om en autentisering, ikke en autorisering (tilgangskontroll skjer altså ikke i kerberos selv).

Håndtering av kerberosticketer

Windows

Alle windowsklienter på UiB er koblet mot AD, og AD er en implementasjon av kerberos. AD har realmnavn UIB.NO. UIB.NO er satt opp til å også stole på UNIX.UIB.NO for visse tjenester.

Linux

Alle linuxklienter på UiB er koblet mot realmet UNIX.UIB.NO, og man autentiserer seg under pålogging. Man må være på UiB-nett for å få tildelt den første ticketen (ticket granting ticket).

Kommandoer

Autentisere mot UNIX.UIB.NO manuelt:

kinit brukernavn@UNIX.UIB.NO

Liste ticketer:

klist

Slette alle ticketer:

kdestroy

Fornying av ticketer:

krenew

Les også veiledningen om automatisk fornying av ticketer i artikkelen om tidsavbrudd for hjemmekatalog under Linux.