Univention Bugzilla – Bug 29096
UCC Terminal Server muss kerberos'ifiziert werden
Last modified: 2013-03-26 09:14:45 CET
Das keytab für den Rechneraccount muss irgendwie auf dem ucc Terminal Server nach /etc/krb5.keytab. Zusätzlich muss in der sshd config mindestens folgendes aktiviert werden. KerberosTicketCleanup yes GSSAPIAuthentication yes GSSAPIKeyExchange ye
Für die Keytab Generierung sollte univention-create-keytab aus univention-heimdal verwendet werden. Dafür müssen auch das python-heimdal Paket portiert werden.
Die krb5.keytab wird jetzt beim Joinen in 45univention-join.inst erzeugt. Dies erfolgt mit dem Tool univention-create-keytab. Problematisch sind noch Samba 4 Umgebungen, da die UCC Einträge nicht von OpenLDAP nach Samba 4 synchronisiert werden und somit in der Samba 4 Kerberos Domäne nicht verfügbar sind. Hier brauchen wir eine S4 Connector Erweiterung: Bug #29872 Ich habe jetzt zunächst das computers/ucc Objekt um die Samba Option erweitert und den S4 Connector im Scope ucc-intergration angepasst, so dass die UCC Objekte synchronisiert werden. Damit funktionierte der ssh Login jetzt, sofern der Benutzer ein gültiges Kerberos Ticket besitzt.
Zusammen mit den weiteren UCC-Anpassungen testen
Das kannst Du mit den anderen UCC-Terminalserver-Tests mittesten.
/etc/ssh/sshd_config enthält die Werte KerberosTicketCleanup yes GSSAPIAuthentication yes GSSAPIKeyExchange yes -> OK 45univention-join.inst erzeugt krb5.keytab -> OK ssh login mit gültigem Ticket implizit bei Terminalservertests mitgeprüft, da die Loadabfrage per ssh passiert. -> OK
UCC 1.0 has been released: http://forum.univention.de/viewtopic.php?f=26&t=2417 http://forum.univention.de/viewtopic.php?f=54&t=2418 If this error occurs again, please use "Clone This Bug".