Single Sign-On; SSO
一回承認を通れば、他のコンピュータのリソースも権限に応じて利用できる仕組み

samba/SSOでは ドメインに参加したwindowsPC からLinuxマシンへのSSOを紹介した。
samba/SSO/GSSAPI_sshでは member serverなLinuxからLinuxへとsshを使ったSSOを紹介した。
ここでは rsh な SSOを紹介する。

2015y12m12d_205124864.png

CentOS6では提供されていたkrb5-appl-serversパッケージがCentOS7ではepelから提供されている。

clientにkrb5-appl-clientsをインストール

[root@client ~]# yum install epel-release.noarch
[root@client ~]# yum install krb5-appl-clients

*/etc/profile.d/krb5-appl-clients.{sh,csh}が追加されます
既にドメインに参加しているので /etc/samba/smb.conf は定義され、sssdによる
認証依頼ができる形なので /etc/sssd/sssd.conf も定義されている。ただし /etc/krb5.conf は未定義です。

接続される側のn1にkrb5-appl-serversをインストール

*client同様に smb.conf、sssd.confは定義済み

[root@n1 ~]# yum install epel-release.noarch
[root@n1 ~]# yum install krb5-appl-servers

インストールされた中身を見ると、klogin、kshellの他に暗号対応のeklogin、ekshellがある。
ここでは前者側を使う。CentOS7ってxinetdでkloginらを統括しないようで、個別みたい。

[root@n1 ~]# systemctl enable klogin.socket kshell.socket
[root@n1 ~]# systemctl start klogin.socket kshell.socket

とサービスを立ち上げる。そして /etc/krb5.confの内容を下記のようにする

[root@n1 ~]# cat /etc/krb5.conf
[libdefaults]
  default_realm = SYBYL.LOCAL
[root@n1 ~]#

SSOで接続

clientにて

[illya@client ~]$ which rsh
/usr/kerberos/bin/rsh
 
[illya@client ~]$ rsh n1
Last login: Sat Dec 12 23:07:19 from client
[illya@n1 ~]$

とパスワードなしで行けた。

暗号化通信

klogin、kshellの代わりに eklogin、ekshell を使用して経路を暗号化させることができるそうな。

[root@n1 ~]# systemctl stop klogin.socket kshell.socket
 
[root@n1 ~]# systemctl start eklogin.socket ekshell.socket

としてサーバ側を稼働させ、クライアント側はrshではなく、krshkrloginを使用する。

[illya@client ~]$ krsh n1
This rlogin session is encrypting all data transmissions.
Last login: Sat Dec 12 23:08:47 from client
[illya@n1 ~]$

な感じで。


トップ   編集 添付 複製 名前変更     ヘルプ   最終更新のRSS
Last-modified: 2015-12-13 (日) 23:24:28 (1951d)