GSSAPI im RZ der TUHH

GSSAPI steht für "Generic Security Services Application Program Interface", bezeichnet also eine allgemeine Programmierschnittstelle zu Sicherheitsdiensten. Der dominierende Sicherheitsdienst, den man meist mit GSSAPI in Verbindung bringt, ist Kerberos. Und Kerberos findet auch im RZ als zentraler Authentifizierungsdienst Verwendung.

Daher ist GSSAPI-Authentifizierung im RZ mit Kerberos-Authentifizierung gleichzusetzen.

Folgende Dienste können momentan per GSSAPI-Authentifizierung und damit ohne erneute Eingabe eines Passwortes genutzt werden:

  • IMAP- und POP3-Zugriff auf den Mailserver
  • ssh-Zugang zum ssh-Server, Linux-Pool und HPC-Rechnern
  • shibboleth
  • Völlig veralteter Orcale Calender Server

Voraussetztung zur Nutzung

Man benötigt ein gültiges Kerberos-Ticket auf dem Rechner, an dem man gerade arbeitet sowie Netzwerkverbindung zum Kerberos-Server. Dies ist nur innerhalb der TU bzw. über VPN möglich.

Linux

Unter Linux legt man eine Datei /etc/krb5.conf an. Dann installiere man ggf. das Packt "krb5-client". Danach kann man sich mit dem Befehl "kinit -f userid@KERBEROS.TU-HARBURG.DE" unter Angabe seines Passwortes ein gültiges Ticket besorgen.

Alternativ kann man auch den Windowmanager so konfigurieren, dass man gleich beim Anmelden am Rechner ein Ticket erhält, so funktioniert es im Linux-Pool, eine genaue Konfigurationsanleitung ist hier aufgrund der vielen verschiedenen Linux-Distributionen und schnellem Wechsel der Konfigurationsoberflächen leider nicht möglich.

Per Thunderbird kann man jetzt seine Mails ohne erneute Angabe des Passwortes lesen, indem man unter Edit->Account Settings->Server Settings die Option "Use secure Authentication" auswählt.

Passwortlosen Zugang zum ssh-Server (und analog zu Rechnern im Linux-Pool) erhält man durch Anlegen des folgenden Konfigurationsfiles unter ~/.ssh/config:

host ssh
hostname ssh.rz.tu-harburg.de
GSSAPIAuthentication yes
GSSAPIDelegateCredentials yes

Das "GSSAPIDelegateCredentials" in Verbindung mit der Option "-f" beim kinit sorgen dafür, dass das Ticket-Granting-Ticket vom lokalen Rechner zum ssh-Server transferiert werden darf. Dieser benötigt das Ticket, um sich damit weitere Tickets für den Zugriff auf die verschiedenen Filesysteme zu besorgen.

Im veralteten aber von einigen immer noch genutzten Orcale-Calendar-Client wähle man im Sign-In Fenster "Other...", dann "Edit..." der Verbindung zum Calendar-Server. Dort wähle man unter "Authentication" "gssapi:Kerberos5", speichere und schliesse alleFenster wieder. Anschliessend lasse man im Sign-In Fenster die Felder für Userid und Passwort leer und klicke einfach nur auf "Sign in".

Windows

Unter Windows kann man entweder die Windows-eigenen Kerberos-Bibliotheken im SSPI oder "Kerberos for Windows" (KfW) vom MIT verwenden.

Für ersteres benötigt man entweder eine Einzelplatz-Kerberisierung oder einen Rechner, der sich komplett in der TU-HARBURG.DE Domäne befindet (z.B. ein Windows-Pool Rechner).  GSSAPI kann in Thunderbird analog zu Linux eingeschaltet werden. Wenn man KfW verwendet, muss zusätzlichunter Edit->Preferences->Config Editor in network.negotiate-auth.gsslib der Pfad zur KfW gssapi-DLL eingetragen werden sowie

network.negotiate-auth.using-native-gsslib auf false gesetzt werden.

Für den ssh-Zugang gibt es spezielle PuTTY- Versionen, die GSSAPI enthalten. WinSCP hat GSSAPI schon eingebaut, es muss nur die entsprechende Option gesetzt werden.

Ein Passwortloses Login des Oracle Calendar Client funktioniert unseres Wissens nicht ohne die KfW-Bibliothek.Ein Login mithilfe der Windows-eigenen SSPI-Kerberos-Bibliothek wird unseres Wissens leider nicht von Oracle unterstützt.

Shibboleth

Damit shibboleth Ihr kerberos-Ticket akzeptiert, müssen Sie

  1. In Ihrem Browser eine Berechtigung erteilen, damit https://shib.rz.tu-harburg.de Ihr kerberos-Ticket nutzen darf.
  2. shibboleth so einstellen, dass es statt des Passwortes kerberos-Authentifizierung nutzt.

Nähere Informationen finden Sie hier.

Leider löscht shibboleth die in Punkt 2. genannte Einstellung jedes Mal, wenn die Authentifizierung scheitert. Z.B. weil sie den Browser über Nacht nicht geschlossen haben und Ihr Ticket abgelaufen ist.

Daher hier noch mal der Link auf die entsprechende Konfigurationsseite.