Skip to main content

ssh authentication with kerberos


This documentation have been tested on CentOS 7.

Install KDC

# yum install -y krb5-server krb5-workstation pam_krb5  

Hostname and resolving Set your hostname

  # hostnamectl set-hostname hanthana.ucsc.com
verify your hostname

# hostname Your domain should resolve. In case if you do not use dns service..
[danishka@kdc ~]$ cat /etc/hosts
192.168.1.101  hanthana.ucsc.com
127.0.0.1  localhost.localdomain localhost 
::1  localhost6.localdomain6 localhost6


Server Configuration

# ls /var/kerberos/krb5kdc/
kadm5.acl  kdc.conf
 
ACL grant all privileges to anyone with admin role. 
Replace EXAMPLE.COM with your realm.
 
# cd  /var/kerberos/krb5kdc/
# cat kadm5.acl 
*/admin@UCSC *
 
# cat kdc.conf 
[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88

[realms]
 UCSC.COM = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
 }


Client Configuration
# cat /etc/krb5.conf

includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 default_realm = UCSC.COM
 default_ccache_name = KEYRING:persistent:%{uid}

[realms]
 UCSC.COM = {
  kdc = hanthana.ucsc.com
  admin_server = hanthana.ucsc.com
 }

[domain_realm]
 .ucsc.com = UCSC.COM
 ucsc.com = UCSC.COM

KDC Database

# kdb5_util create -s -r UCSC.COM
 
Start and enable kadmin and krbkdc services
# systemctl start kadmin.service 
# systemctl start krb5kdc.service 
# systemctl enable kadmin.service 
# systemctl enable krb5kdc.service 

Principals
Objects in the KDC database known as principals, those objects can be users or hosts.
So we need to add each principal for each object. 
# kadmin.local kadmin.local: addprinc root/admin kadmin.local: addprinc danishka kadmin.local: addprinc host/hanthana.ucsc.com kadmin.local: quit

Copy enrypted Kerberos keytab files

# kadmin.local
kadmin.local: addprinc -randkey host/hanthana.ucsc.com
kadmin.local: ktadd host/hanthana.ucsc.com
kadmin.local: quit
 
Configure ssh client to allow clients to use Kerberos authentication.

Edit /etc/ssh/ssh_config
 
GSSAPIAuthentication yes
GSSAPIDelegateCredentials yes
Now update PAM configuration
# authconfig  --enablekrb5 --update
Reload ssh configuration
# systemctl reload sshd.service
 
 
As local user you should able to get your token
[danishka@kdc ~]$ klist 
Ticket cache: KEYRING:persistent:1000:1000
Default principal: danishka@UCSC.COM

Valid starting       Expires              Service principal
08/28/2018 11:19:21  08/29/2018 10:56:50  krbtgt/UCSC.COM@UCSC.COM
 
In case if you get following result, run kinit instead
 
$ klist 
klist: Credentials cache keyring 'persistent:1000:1000' not found
[madura@localhost ~]$ kinit 
Password for danishka@UCSC.COM: 
[madura@localhost ~]$ klist 
Ticket cache: KEYRING:persistent:1000:1000
Default principal: danishka@UCSC.COM

Valid starting       Expires              Service principal
08/28/2018 11:19:21  08/29/2018 10:56:50  krbtgt/UCSC.COM@UCSC.COM  
 
 

Now SSH without password using your Kerberos token.

[danishka@kdc ~]$ ssh hanthana.ucsc.com
Last login: Tue Aug 28 13:49:19 2018 from 192.168.1.99

Create .pcap file
 
tcpdump -i any -w /tmp/tcpdump.pcap 

Comments

Popular posts from this blog

Faster & Stable Firefox 4 beta 9 OUT and fixing 661 BUGS!

The complete list of bugs fixed by Firefox 4 Beta 09 . Bug ID Summary 569350 support Variation Selector sequences on all platforms 600079 Crash in [@ @0x0 | mozilla::gl::GLContext::MarkDestroyed() ] 509970 xpcshell-tests: random failure in test_removeVisitsByTimeframe.js | 2 == 10, 6 == 10, etc. 616469 Video sync is slow because of slow yuv2rgb conversion 618526 "Security Error: Content at http://mochi.test:8888/tests/dom/tests/mochitest/general/test_focusrings… 575519 "make buildsymbols" doesn't work on systems without Visual C++ 2005 installed 491552 Firebug toolbarbuttons don't ...

බැංකුවට තහවුරු කරගන්න ඔනා ලු

බැංකුව: සර් ලඟකදි අපේ සිස්ටම් එකට ලොග් උනාද?  මම: නැ, ඇයි? බැංකුව: අපි ලඟකදි මයිග්‍රේශන් එකක් කළා.  මම: ඔව් මම දන්නව ඒක හරි ගියෙත් නැනේද (මාලිංද මේ ගැන ලගකදි ලියල තිබ්බා ;-) )  බැංකුව: අපිට සර්ගෙ තොරතුරු තහවුරු කරගන්න හැකිද ටෙම්පරි පාස්වඩ් එකක් දෙන්න?  මම: මට පුලුවන්ද ඔයාව තහවුරු කරගන්න?  බැංකුව: බලන්න මේ අපේ හොට්ලයින් අංකය.  මම: එහෙම බැ මම දන්නේ කොහොමද ඔබ මගෙන් මේ විස්තර අහගෙන මොනව කරයිද? බැංකුවේ මොනව කරන කෙනෙක්ද කියල? මොකද මේ ඇමතුම මම ගත්තෙත් නැනේ.  අවශ්‍යම නම් සිස්ටම් එකෙ තියෙන ඊ-මේල් එක හරහා බැංකුවෙන් මේල් එකක් එවන්න අවශ්‍ය පාස්වඩ් එක සමඟ.  බැංකුව: බැ එහෙම කරන්න බැ. එහෙනම් අපිට කරන්න දෙයකුත් නැ.  මම: දැන්ම මමද සිස්ටම් අප්ඩේට් කළේ? මැනෙජර්ට කතා කරන්න දෙන්නකො .....  මැනෙජර්: සර් අපි මයිග්‍රේශන් එක කරද්දි සර්ගේ ප්‍රොෆයිල් එක හැලිලා.  මම: අපොයි! හොඳ වෙලාවට මම නෙමේ කුවරි ලිව්වේ.    ප.ලි: මම ඔය සිස්ටම් එකෙ හෙන කාලෙකින් භාවිත කරලත් නැ මෑතකදි එහෙම කරන්න අවශ්‍යතාවයකුත් නැ. එහෙම එකෙ නිකන් රිස්ක් එකක් අරගෙන මම මොකටද මගෙ තොරතුර...

වේදනාත්මක නිහඬ බව

අපි ගොඩක් වෙලාවට නිස්කලන්ක, නිහඬ පරිසරයකට ආදරය කරනව. ඒ අත්දැකීම යළි යළිත් විදගන්න තරම් පෙරේත කමක් දක්වනව. නමුත් සමහර නිහඬ අවස්ථා ඉතාම වේදනාකාරයි. ඊයේ (2020 මාර්තු 14) රාත්‍රියේ  නින්දට ගිය පසු වරින් වර තාත්තව ඇහැරවන්න බැලුවේ, ඔහුට අවශ්‍ය බෙහෙත් සහ මුත්‍ර කිරීමට ඇවැසිදැයි පිරික්සීමටයි. වෙනදා "තාත්තේ චූ කරන්න ඔනද?" ඇසු විට "හා" කියා ප්‍රතිචාර දක්වන ඔහු ඊයේ රාත්‍රිය පුරාවට කිසිදු ප්‍රතිචාරයක් නොදක්වා නින්දේම සිටියා. අලුයම 3ටත් එලෙසමයි. අද උදේ දෙගිඩියාවෙන් මෙන් අවදි කළ පසුත් ඔහුගෙන් සුපුරුදු ලෙස "සුබ උදැසනක්" ප්‍රතිචාරයක් ලැබුනේ නැ. ඔව් දවසම තාත්ත ගොලුයි. ඉදහිට අසන ප්‍රශ්නයකට හිස සලයි. මගේ ජිවිතේටම තාත්ත කතා නොකර සිටි පලමු දවස අද. මේ වේදනාව වචනවලට පෙරලන්න දන්න කෙනෙක් ඉන්නවද මම නම් දන්නේ නැ. තාත්ත ඉස්සරහා එයාගේ ඇස් දිහා බලන් කිසිම දෙයක් නොවු විදියට තොර තෝංචියක් නැතිව කියෙව්වට අදත් මගේ බත් එකෙ කදුලු. අද මේ පිංතුරේ මතක් වුන නිසා අන්තර්ජාලේන් හොයල ගත්තා. මේ පිංතුරේ ඇත්තටම වෙන්නේ දියණියක් (අර්ධ වශයෙන් අංශභාගයට පත්) ඇගේ පියාට ඇවිදීමට සහාය වෙන පිංතූරයක...