Les pièges à con du jour : Kerberos et SSH
March 13, 2013 by nonoCatégories geekeries - Mots-clés grmpf kerberos
Aujourd'hui, deux pièges à con. :-)
Je commence à jouer avec Kerberos. SSH m'a posé quelques problèmes ; voilà un petit bout d'aide-mémoire pour ne pas me faire avoir une deuxième fois.
Contexte
J'ai un royame Kerberos avec deux KDC. J'ai aussi deux stations sous Debian GNU/Linux configurées pour parler aux deux KDC susmentionnés. Le tout fait tourner MIT Kerberos et c'est installé tout comme écrit dans la doc. Je ne reviens pas là-dessus, rien de bien compliqué.
Côté client
Ne pas oublier le bout de config qui va bien ; en gros, ça veut dire ça dans ~/.ssh/config :
Host * GSSAPIAuthentication yes GSSAPIDelegateCredentials yes GSSAPIKeyExchange no GSSAPITrustDns yes
On peut faire un peu plus restrictif que Host * et probablement en mettre un peu moins mais moralement c'est ça.
Côté serveur
Là, je me suis gratté la tête un moment. Si jamais Kerberos vous jette quand l'option GSSAPIStrictAcceptorCheck vaut yes et qu'il vous accepte quand l'option est à no, jetez un oeil à votre fichier /etc/hosts, cherchez-y une ligne de ce genre et enlevez-la si vous la trouvez :
127.0.0.1 mamachine.mon.domaine mamachine
La seule ligne correspondant à 127.0.0.1 dans /etc/hosts doit être celle qui définit localhost ; si vous avez autre chose, vous allez avoir des emmerdes (mon collègue de bureau appelle ça le syndrome Alain Delon).