Les pièges à con du jour : Kerberos et SSH

March 13, 2013 by nono
Catégories geekeries - Mots-clés grmpf kerberos

Aujourd'hui, deux pièges à con. :-)

Je commence à jouer avec Kerberos. SSH m'a posé quelques problèmes ; voilà un petit bout d'aide-mémoire pour ne pas me faire avoir une deuxième fois.

Contexte

J'ai un royame Kerberos avec deux KDC. J'ai aussi deux stations sous Debian GNU/Linux configurées pour parler aux deux KDC susmentionnés. Le tout fait tourner MIT Kerberos et c'est installé tout comme écrit dans la doc. Je ne reviens pas là-dessus, rien de bien compliqué.

Côté client

Ne pas oublier le bout de config qui va bien ; en gros, ça veut dire ça dans ~/.ssh/config :

Host *
    GSSAPIAuthentication yes
    GSSAPIDelegateCredentials yes
    GSSAPIKeyExchange no
    GSSAPITrustDns yes

On peut faire un peu plus restrictif que Host * et probablement en mettre un peu moins mais moralement c'est ça.

Côté serveur

Là, je me suis gratté la tête un moment. Si jamais Kerberos vous jette quand l'option GSSAPIStrictAcceptorCheck vaut yes et qu'il vous accepte quand l'option est à no, jetez un oeil à votre fichier /etc/hosts, cherchez-y une ligne de ce genre et enlevez-la si vous la trouvez :

127.0.0.1 mamachine.mon.domaine mamachine

La seule ligne correspondant à 127.0.0.1 dans /etc/hosts doit être celle qui définit localhost ; si vous avez autre chose, vous allez avoir des emmerdes (mon collègue de bureau appelle ça le syndrome Alain Delon).