Firewall a dalsi funkce

Michal Dobes dobes na tesnet.cz
Čtvrtek Listopad 6 10:09:15 CET 2014 

Dne 6.11.2014 v 8:44 Petr Klíma napsal(a):
> Jen dotaz na tu authorizaci pomocí Kerberosu. Ta funguje moc pěkně u Win
> (a pravděpodobně i Linux) stanic v doméně, ale jak to řešíte např. u
> Linuxů mimo doménu a nebo u utilit typu WGET ... ?

Ano, Kerberos funguje naprosto OK pro linux i wokna (mám na něm asi
už vše komplet). Jako doménový řadič mám Samba 4.1, který jede i funkci
Kerberos serveru.
Takže linux, kde je i samba, je kerberizován automaticky v rámci
akce "net ads join ..." a pak případně přidám přes net ads keytab add
service principály.
Kde sambu nemám a nechci, tak to řeší na Samba serveru použití
samba-tool user add | user setexpiry --noexpiry | spn add | domain 
exportkeytab
a následné nakopírování keytabu.
A klientské stanice, když jsou to wokna, je to v doméně, jede to
automaticky, když je to linux, tak mám uživatele přes ldap žrané
z AD (používám nslcd, při použití sssd katastrofy) a zároveň nastaven
Kerb ověřování proti AD, takže to jede automaticky i s ticketováním
při přihlášení.

Problém dělá snad jen NFSv4 ve starších strojích, kde je problém
v kombinaci proti Samba4 jako kerb serveru, že nemá default, aby
service principal fungoval jako user principal. Což řeší vytvoření
uživatele/principálu pomocí mskutil a u novějších už NFSv4 netrvá
na nfs/<name>@<REALM> a vezme <HOSTNAME>$@<REALM>, takže problém není.

Pro stroje, co nejsou takto v "doméně", tak může jít jen o stanice,
tak je to stejné pro okna i linux. Na oknech je hozen MIT kerberos
klient a člověk si tam to heslo musí kliknout a na linuxu stejně
má kinit nebo ekvivalentní klikátko. Ale takové mám  asi jen dva
nějaké mikronotebooky.
MIT identity manažer mám stejně nainstalován všude kvůli funkčnosti
forwardu ticketů pro SSH a NX vzdálené přístupy (MIT IDM nastaven,
že si importuje tickety automaticky z windows cache a pak je umí
poslat dál).

WGET řeším administrativním nařízením A Bůh, teda Majklík, pravil:
Použiješ
curl --proxy http://proxy:8080 --proxy-negotiate -U: http://www.porno.cz
To --proxy-negotiate zapne ověření Kerberosem a -U: řekne, ať si najde
v ticket cache, co se mu hodí.
Pokud to je skript pouštěny neinteraktivně pod rootem, tak si musí
prvně opatřit systémový ticket (kinit -k -t /etc/krb5.keytab
hostname\$@REALM), normální smrtelník si musí pohrát s k5start.

A pak je v squidu X vyjímek pro některé věci, že je pustí bez ověření
na základě cílové URL (něco od účta, aktualizace a pár podobných). :-)

M.

Další informace o konferenci Linux