![[PukiWiki]](image/picc.png "[PukiWiki]")
Single Sign-On; SSO
一回承認を通れば、他のコンピュータのリソースも権限に応じて利用できる仕組み
samba/SSOでは ドメインに参加したwindowsPC からLinuxマシンへのSSOを紹介した。
samba/SSO/GSSAPI_sshでは member serverなLinuxからLinuxへとsshを使ったSSOを紹介した。
ここでは rsh な SSOを紹介する。
CentOS6では提供されていたkrb5-appl-serversパッケージがCentOS7ではepelから提供されている。
[root@client ~]# yum install epel-release.noarch
[root@client ~]# yum install krb5-appl-clients*/etc/profile.d/krb5-appl-clients.{sh,csh}が追加されます
既にドメインに参加しているので /etc/samba/smb.conf は定義され、sssdによる
認証依頼ができる形なので /etc/sssd/sssd.conf も定義されている。ただし /etc/krb5.conf は未定義です。
*client同様に smb.conf、sssd.confは定義済み
[root@n1 ~]# yum install epel-release.noarch
[root@n1 ~]# yum install krb5-appl-serversインストールされた中身を見ると、klogin、kshellの他に暗号対応のeklogin、ekshellがある。
ここでは前者側を使う。CentOS7ってxinetdでkloginらを統括しないようで、個別みたい。
[root@n1 ~]# systemctl enable klogin.socket kshell.socket
[root@n1 ~]# systemctl start klogin.socket kshell.socketとサービスを立ち上げる。そして /etc/krb5.confの内容を下記のようにする
[root@n1 ~]# cat /etc/krb5.conf
[libdefaults]
default_realm = SYBYL.LOCAL
[root@n1 ~]#clientにて
[illya@client ~]$ which rsh
/usr/kerberos/bin/rsh
[illya@client ~]$ rsh n1
Last login: Sat Dec 12 23:07:19 from client
[illya@n1 ~]$とパスワードなしで行けた。
klogin、kshellの代わりに eklogin、ekshell を使用して経路を暗号化させることができるそうな。
[root@n1 ~]# systemctl stop klogin.socket kshell.socket
[root@n1 ~]# systemctl start eklogin.socket ekshell.socketとしてサーバ側を稼働させ、クライアント側はrshではなく、krsh、krloginを使用する。
[illya@client ~]$ krsh n1
This rlogin session is encrypting all data transmissions.
Last login: Sat Dec 12 23:08:47 from client
[illya@n1 ~]$な感じで。
