Linux에서 자동 로그인을위한 Kerberos 티켓 받기

1

Kerberos가있는 사용자의 자동 로그인을 구성하려고했습니다. '사용하려고했지만 mingetty --autologin USERNAME'kerberos 티켓이없는 세션을 제공합니다 (nfs4 내보내기에 액세스해야 함). 사용자 이름과 비밀번호로 콘솔에 정기적으로 로그인하면 kerberos 티켓을 얻습니다.

사용자의 특수 키탭을 사용하여 자동으로 사용자를 로그인하는 방법이 있습니까?

login  kerberos  auto-login 
안드레아스 로스
소스

답변:

1

인터넷에서 다른 사람들이 kerberos로 필요한 것과 같은 것을 달성하고 티켓이 생성되도록하는 데 유용하다고 생각하는 경우 아래에서 참조하고 인용 할 훌륭한 게시물을 발견했습니다.

  • rc.local, su 및 Kerberos를 사용한 자동 로그인

    지난 주에는 네트워크의 모든 컴퓨터에 Kerberos 인증을 설정했습니다. 그 중 하나는 자동으로 로그인하여 MythTV를 시작하려는 미디어 컴퓨터입니다. 과거에는 su – mythtv -c startx자동 로그인을 위해 /etc/rc.local에서 호출을 사용했습니다 .

    새 시스템에서는 Kerberos 인증을 사용하여 NFS를 통해 / home을 마운트하기도하므로 일반적으로 / home / mythtv 및 액세스해야하는 모든 미디어에 액세스하기 전에 mythtv의 비밀번호를 입력해야합니다. 대신 mythtv 사용자를 위해 키탭을 사용해야합니다 – http://kb.iu.edu/data/aumh.html#create

    다음으로 / home을 마운트하고 시작하기 전에 티켓을 세션으로 가져와야합니다. su – mythtv -c “kinit mythtv@JHULST.COM -k -t /etc/mythtv.keytab”/ home을 마운트하려고 할 때 오류가 발생하지만 mythtv에 대한 티켓이 캐시됩니다.

    이 후 당신은 실행할 수 있습니다 su – mythtv -c startx. 내 시스템에서 두 명령문 사이에 sleep 문을 넣어야했습니다. 그렇지 않으면 마운트가 실패합니다.

    네트워크 자격 증명을 자동으로 제공하는 자동 로그인 기능으로는 다소 안전하지 않습니다. 내 설정에서 mythtv 사용자에게는 제한된 권한이 있지만 계속 진행하기 전에 그것에 대해 생각하고 싶을 것입니다.

  • 키탭이란 무엇이며 어떻게 사용합니까?

    소개

    키탭은 Kerberos 프린시 펄과 암호화 된 키 쌍 (Kerberos 비밀번호에서 파생 됨)을 포함하는 파일입니다. 이 파일을 사용하여 비밀번호를 묻지 않고 Kerberos에 로그인 할 수 있습니다. 키탭 파일의 가장 일반적인 개인적 사용은 스크립트가 사람의 상호 작용없이 Kerberos를 인증하거나 일반 텍스트 파일에 암호를 저장하는 것입니다. 그런 다음 스크립트에서 획득 한 자격 증명을 사용하여 RSA (Research File System) 또는 SDA (Stuallyly Data Archive)에 저장된 파일에 액세스 할 수 있습니다.

    경고 : 키탭에 대한 읽기 권한이있는 사용자는 키탭에 포함 된 모든 키를 사용할 수 있으므로 생성 한 모든 키탭 파일에 대한 권한을 제한하고 모니터링해야합니다.

    또한 다음을 고려하십시오.

    • Kerberos 비밀번호를 변경하면 모든 키탭을 다시 작성해야합니다.

    • 이 페이지의 예제를 수행 할 때 표시된대로 정확하게 명령을 입력하십시오.

    키탭 파일 작성

    Kerberos가있는 모든 컴퓨터에서 키탭 파일을 빠르게 만들 수 있습니다. 키탭 파일은 컴퓨터와 독립적이므로 프로세스를 한 번 수행 한 다음 파일을 여러 컴퓨터에 복사 할 수 있습니다.

    참고 : 다음은 Kerberos 클라이언트 (사용자의 워크 스테이션 또는 Quarry와 같은 UITS 공유 시스템)에 액세스 할 수 있다고 가정합니다. ktutil의 위치 (예 : / usr / sbin 또는 / usr / kerberos / sbin)를 포함하도록 경로를 수정해야 할 수도 있습니다.

    다음은 MIT Kerberos를 사용한 키탭 파일 작성 프로세스의 예입니다.

      > ktutil
  ktutil:  addent -password -p username@ADS.IU.EDU -k 1 -e rc4-hmac
  Password for username@ADS.IU.EDU: [enter your password]
  ktutil:  addent -password -p username@ADS.IU.EDU -k 1 -e aes256-cts
  Password for username@ADS.IU.EDU: [enter your password]
  ktutil:  wkt username.keytab
  ktutil:  quit

    다음은 Heimdal Kerberos를 사용하는 예입니다.

      > ktutil -k username.keytab add -p username@ADS.IU.EDU -e arcfour-hmac-md5 -V 1

    Heimdal에서 생성 된 키탭이 작동하지 않으면 aes256-cts 항목이 필요할 수 있습니다. 이 경우 MIT Kerberos가있는 컴퓨터를 찾아 대신 해당 방법을 사용해야합니다.

    키탭을 사용하여 스크립트 인증

    유효한 Kerberos 자격 증명을 갖도록 스크립트를 실행하려면 다음을 사용하십시오.

      > kinit username@ADS.IU.EDU -k -t mykeytab; myscript

    username을 username으로 바꾸고 mykeytab을 keytab 파일 이름으로 바꾸고 myscript를 스크립트 이름으로 바꾸십시오.

    키탭 파일에 키 나열

    MIT Kerberos에서 키탭 파일의 내용을 나열하려면 klist를 사용하십시오 (mykeytab을 키탭 파일 이름으로 바꾸십시오).

      > klist -k mykeytab

  version_number username@ADS.IU.EDU
  version_number username@ADS.IU.EDU

    출력에는 버전 번호와 프린시 펄 이름이 나열된 두 개의 열이 있습니다. 보안 주체에 대한 여러 키가 존재하면 버전 번호가 가장 높은 키가 사용됩니다.

    Heimdal Kerberos에서는 ktutil을 대신 사용하십시오.

      > ktutil -k mykeytab list
  mykeytab:

  Vno  Type         Prinicpal
  1    des3-cbc-md5 username@ADS.IU.EDU
  ...

    키탭 파일에서 키 삭제

    키탭 파일이 더 이상 필요하지 않으면 즉시 삭제하십시오. 키탭에 여러 키가 포함 된 경우 ktutil 명령을 사용하여 특정 키를 삭제할 수 있습니다. 이 절차를 사용하여 이전 버전의 키를 제거 할 수도 있습니다. MIT Kerberos를 사용한 예는 다음과 같습니다.

      > ktutil
  ktutil: read_kt mykeytab
  ktutil: list

  ...

  slot# version# username@ADS.IU.EDU        version#
  ...

  ktutil: delent slot#

    mykeytab을 키탭 파일 이름으로 바꾸고, username을 사용자 이름으로, version #을 적절한 버전 번호로 바꿉니다.

    버전이 사라 졌는지 확인한 다음 ktutil에 다음을 입력하십시오.

      quit

    Heimdal Kerberos를 사용하여 동일한 작업을 수행하려면 다음을 사용하십시오.

      > ktutil -k mykeytab list

  ...
  version# type username@ADS.IU.EDU
  ...

  > ktutil -k mykeytab remove -V version# -e type username@ADS.IU.EDU

    키탭 파일 병합

    한 곳에 있어야하는 키탭 파일이 여러 개인 경우 키를 ktutil 명령과 병합 할 수 있습니다.

    MIT Kerberos를 사용하여 키탭 파일을 병합하려면 다음을 사용하십시오.

      > ktutil
  ktutil: read_kt mykeytab-1
  ktutil: read_kt mykeytab-2
  ktutil: read_kt mykeytab-3
  ktutil: write_kt krb5.keytab
  ktutil: quit

    mykeytab- (숫자)를 각 키탭 파일의 이름으로 바꾸십시오. 마지막으로 병합 된 키탭은 krb5.keytab입니다.

    병합을 확인하려면 다음을 사용하십시오.

      klist -k krb5.keytab

    Heimdal Kerberos를 사용하여 동일한 작업을 수행하려면 다음을 사용하십시오.

      > ktutil copy mykeytab-1 krb5.keytab
  > ktutil copy mykeytab-2 krb5.keytab
  > ktutil copy mykeytab-3 krb5.keytab

    그런 다음 병합을 확인하려면 다음을 사용하십시오.

      ktutil -k krb5.keytab list

    키탭 파일을 다른 컴퓨터로 복사

    키탭 파일은 생성 된 컴퓨터, 파일 이름 및 파일 시스템의 위치와 무관합니다. 만들어진 후에는 이름을 바꾸거나 동일한 컴퓨터의 다른 위치로 옮기거나 다른 Kerberos 컴퓨터로 옮기면 여전히 작동합니다. 키탭 파일은 이진 파일이므로 손상되지 않는 방식으로 전송하십시오.

    가능하면 SCP 또는 다른 보안 방법을 사용하여 컴퓨터간에 키탭을 전송하십시오. FTP를 사용해야하는 경우 파일을 전송하기 전에 FTP 클라이언트에서 bin 명령을 실행하십시오. 키 유형 파일이 손상되지 않도록 전송 유형을 2 진으로 설정합니다.

    출처

이 정보로 인해 이제 다음 스크립트를 사용하여 제공된 kerberos 키 테이블 파일로 자동 로그인을 수행하고 있습니다.

DISPLAY= su mythtv -c "HOME=/var/lib/mythtv KRB5CCNAME=FILE:/tmp/krb5cc_mythtv_tty7 /usr/bin/kinit -k -t /var/lib/mythtv/mythtv.keytab mythtv"
export KRB5CCNAME=FILE:/tmp/krb5cc_mythtv_tty7
/sbin/mingetty --delay=2 --autologin=mythtv tty7
안드레아스 로스
소스
링크가 죽었다 :(
Iwo Kucharski
어쨌든 링크 또는 web.archive.org 등이 필요한 사람 ~
Pimp Juice IT
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.