Autenticación de usuarios usando Kerberos
En una entrada anterior ya vimos como instalar y configurar Kerberos en cliente y servidor. Ahora vamos a explicar como autenticar usuarios usando Kerberos.
En nuestro cliente creamos un usuario llamado Kerberos que es el que vamos a utilizar para comprobar la autenticación contra Kerberos. Usamos adduser y con getent passwd vemos como se nos ha creado el usuario:
Ahora vamos a crear ese mismo usuario en el servidor Kerberos. Esto podemos hacerlo incluso desde el cliente usando kadmin:
Se ha creado en el servidor el usuario Kerberos. Se le ha puesto una contraseña distinta a la que tenía localmente el cliente para comprobar que efectivamente se autentica con Kerberos.
Instalamos el paquete libpam-krb5. Una vez instalado él solo se encargará de configurar PAM para que autentique mediante Kerberos.
Ahora vamos a probar a autenticarnos con el usuario kerberos. Hacemos un su kerberos y usamos la contraseña que introducimos antes en el servidor Kerberos.
Nos autentica perfectamente con una contraseña que no se encuentra en el cliente, por tanto está auntenticando con Kerberos. Vamos al servidor a ver que ocurre allí.
Hacemos un tail /var/log/auth.log
Esas entradas en el log indican que ha habido un proceso de autenticación por parte del servidor Kerberos. Por tanto podemos afirmar que el cliente se está autenticando mediante Kerberos.
Haremos la última prueba. Vamos a iniciar sesión con el usuario kerberos introdución la contraseña del servidor Kerberos que recuerdo que es distinta a la contraseña local:
Vemos como entra sin problemas
Fuentes: