Difference between revisions of "Klienter"
(→Inloggning med stackens användare) |
(→Kerberos auth) |
||
Line 79: | Line 79: | ||
auth sufficient pam_krb5.so ccache=/tmp/krb5cc_%u | auth sufficient pam_krb5.so ccache=/tmp/krb5cc_%u | ||
− | + | ''# Finns det nån config som gör att den där PAM modulen kollar keytabben innan den släpper in folk?'' | |
Låt /etc/site vara en symlänk som pekar in i afs. site innehåller diverse filer som t.ex. bash_profile. | Låt /etc/site vara en symlänk som pekar in i afs. site innehåller diverse filer som t.ex. bash_profile. | ||
Line 85: | Line 85: | ||
$ sudo ln -s /afs/stacken.kth.se/common/etc/site /etc/site | $ sudo ln -s /afs/stacken.kth.se/common/etc/site /etc/site | ||
− | Det bör räcka för att du ska kunna logga in i en terminal, ssh. | + | Det bör räcka för att du ska kunna logga in i en terminal, ssh. |
+ | |||
+ | ==== Om det inte funkar att logga in i X ==== | ||
+ | |||
+ | Kör bara det här om det inte funkar att logga in (få biljetter) från inlogg i X. | ||
$ sudo $EDITOR /etc/gdm/Xsession | $ sudo $EDITOR /etc/gdm/Xsession | ||
Line 94: | Line 98: | ||
Det är ett litet ful-hack som kör afslog. | Det är ett litet ful-hack som kör afslog. | ||
− | |||
− | |||
==== sshd GSSAPIKeyExchange ==== | ==== sshd GSSAPIKeyExchange ==== |
Revision as of 18:49, 16 February 2012
Stacken har i dag tre kienter (datorer) i lokalen. Den gamla kurt-goedel och de två nya georg-scheutz (soffan) samt edvard-scheutz.
Sätt upp en maskin i Stackens miljö
Ubuntu
I dag är det georg-scheutz samt edvard-scheutz som kör Ubuntu. Här kommer en genomgång av vad som är gjort på dem.
Installation
En standardinstallation med swap och /, inga konstigheter. Maskinen dual-bootar Windows. En stacken-användare är skapad och är administratör (rättigheter att köra sudo).
Installera några viktiga program för att folks login skall funka
$ sudo apt-get install tcsh twm # annars sätter sig thn på dig
Installera afs och kerberos
$ sudo apt-get install openafs-client (stacken.kth.se, 5G cache) $ sudo apt-get install heimdal-clients (STACKEN.KTH.SE)
Efter det bör du ha fungerande afs och kerberos på maskinen. Eventuellt kanske vi på sikt kan byta ut den lite "trasiga" versionen av heimdal till habas debian/ubuntu-rep. Men det som finns nu funkar.
Syns det inga filer i /afs
så starta openafs med:
$ sudo service openafs-client start
Inloggning med stackens användare
$ sudo apt-get install libnss-db $ sudo apt-get install libpam-krb5
Se till att vi får tokens när vi loggar in
$ sudo apt-get install openafs-krb5
passwd
Det finns ett cron-jobb som hämtar stackens passwd, konventerar den till ett format som passar linux och skapar /etc/stacken/passwd
samt /etc/stacken/shadow
. shadow är en dummy-fil och innehåller inga hashar.
$ cd /etc/cron.hourly/ $ sudo ln -s /afs/stacken.kth.se/i386_linux6/etc/cron.hourly/update-stacken-passwd-db-deb
Vi använder oss av libnns-db för att bygga en databas av passwd och shadow-filerna. Då våra stacken-filer inte ligger på det vanliga stället i /etc/ så måste vi uppdatera lite i en konfigurationsfil.
$ sudo $EDITOR /etc/default/libnss-db
Ändra till följande rader
ETC = /etc/stacken DBS = passwd shadow
Det som är kvar nu är att ändra så att vi använder våra nya filer.
$ sudo $EDITOR /etc/nsswitch.conf
Lägg till "db" i slutet på passwd och shadow-raden.
passwd: compat db shadow: compat db
Du bör nu kunna testa att det funkar genom att manuellt köra /etc/cron.hourly/update-stacken-passwd-db-deb
som root.
$ sudo /etc/cron.hourly/update-stacken-passwd-db-deb
Du kan testa att du kan hämta en användare med
$ getent passwd USERNAME
Kerberos auth
Det finns en sak kvar, då vår shadow-fil inte innehöll lösenordshasharna så går det inte att logga in med våra användare än. Det som finns kvar att göra är att använda libpam-krb5 för inloggning.
$ sudo $EDITOR /etc/pam.d/common-auth
Lägg till följande rad överst:
auth sufficient pam_krb5.so ccache=/tmp/krb5cc_%u # Finns det nån config som gör att den där PAM modulen kollar keytabben innan den släpper in folk?
Låt /etc/site vara en symlänk som pekar in i afs. site innehåller diverse filer som t.ex. bash_profile.
$ sudo ln -s /afs/stacken.kth.se/common/etc/site /etc/site
Det bör räcka för att du ska kunna logga in i en terminal, ssh.
Om det inte funkar att logga in i X
Kör bara det här om det inte funkar att logga in (få biljetter) från inlogg i X.
$ sudo $EDITOR /etc/gdm/Xsession
Lägg till följande rad på valfritt lämpligt ställe
$ . /afs/stacken.kth.se/common/etc/GdmAfsTokensDefault
Det är ett litet ful-hack som kör afslog.
sshd GSSAPIKeyExchange
installera ssh-server rm /etc/ssh/*key* # de behövs ju inte /etc/init.d/ssh stop addera GSSAPI-options i sshd_config och stäng av password login
fixa lång hostname i filen och verkligheten
stoppa in datan i HOSTS.TXT och fixa DNS och DHCP stoppa in reversuppslagningen i /etc/hosts (optional) fixa keytab med ktutil
/etc/init.d/sshd start
Gjort på edvard, todo på georg.