GNU/Debian mit Kerberos5 und OpenAFS als Client

Nachdem der [Kerberos und der OpenAFS Server][1] laufen, geht es nun daran Arbeitsplätze einzubinden. Alle folgenden Schritte werden auf dem Arbeitsplatzrechner ausgeführt, das setzt vorraus, dass Kerberos und OpenAFS einwandfrei funktionieren.

Als erstes wird für den Arbeitsplatzrechner ein neuer principal angelegt, mittels kadmin kann man als Kerberos Administrator durch addprinc -randkey host/workstation.example.com@EXAMPLE.COM den neuen principal anlegen und auch gleich in die /etc/krb5.keytab des Arbeitsplatz exportieren: ktadd -k /etc/krb5.keytab host/workstation.example.com@EXAMPLE.COM. Damit wäre die Kommunikation zwischen Kerberos client und server ermöglicht.

Damit der Benutzer bei der Anmeldung automatisch ein ticket (Kerberos) und ein token (AFS) erhält, ist libpam-krb5 und libpam-openafs-session zu installieren. Die Konfiguration der beiden PAM Module wird in /etc/pam.d/common-{auth|accounts|session} durchgeführt. In den entspr. Dateien sind folgende Zeilen anzuhängen:

auth      sufficient      pam_krb5.so try_first_pass forwardable ignore_root
account   sufficient      pam_krb5.so ignore_root
session   optional        pam_krb5.so ignore_root
session   optional        pam_openafs_session.so ignore_root

Jetzt sollte nach dem Anmelden z.B. via ssh sowohl ein Kerberos ticket (welches durch das beim ssh login angegebene Passwort oder durch ein einzugebendes Password authorisiert wird) und daran folgend für die Sitzung ein AFS ticket ausgestellt.

[1]: http://b4mad.net/datenbrei/archives/2006/03/08/openafs-server/