AFSLore/KerberosV.mdwn

   1 Kerberos is a network authentication system which is available for Unix, Windows, Macintosh, and I'm sure lots of other platforms.
   2
   3 How does this relate to [[OpenAFS]]? [[OpenAFS]] uses Kerberos to perform strong authentication for clients connecting to the AFS filespace. If you're new to Kerberos, you should take a look at the Kerberos FAQ located at <http://www.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html>. For the impatient, a quick list of useful Kerberos-related terms will be available at [[KerberosTerms]].
   4
   5 Note that there are two versions of Kerberos in wide usage. The latest is [[KerberosV]], but AFS, for historical reasons, uses a modified version of Kerberos 4 (see [[KaServer]]). However, AFS can be integrated into a [[KerberosV]] realm, and in fact is highly suggested for any new installations of AFS. See [[SettingUpAuthentication]].
   6
   7 Installing [[KerberosV]] along with [[OpenAFS]] will provide the basis for many other very cool features, such as a single repository for all authentication information for an administrative domain, integration with the Windows 2000/XP login mechanism, and even single-sign-on capability. Note that the further down you get in that list, the harder things become. :)
   8
   9 The installation documentation on the [[OpenAFS]] web site unfortunately does not include any information on integrating AFS into a [[KerberosV]] realm. (Work on install document &amp; gotchas page later)
  10
  11 To compile [[OpenAFS]] with [[KerberosV]] support you need to use the --with-krb5-conf=/path/to/krb5-config flag to configure.
  12
  13 If you're using [[KerberosVMIT]] versions 1.2.6 or later, you'll need to add a section to krb5.conf on the krb524d host if you wish to continue using old-style [[KerberosIV]] ticket derived tokens.
  14
  15     [appdefaults]
  16     afs_krb5 = {
  17           REALM.NAME = {
  18                                         afs = false
  19                                         afs/cell.name = false
  20           }
  21     }
  22
  23 Where REALM.NAME and cell.name are the names of your [[KerberosRealm]] and [[AFSCell]] respectively.
  24
  25 If you already have a working AFS cell using [[KaServer]], check out [[DerrickBrashear]]'s document for converting from the [[KaServer]] to [[HeimdalKTH]] [here](http://lost-contact.mit.edu/afs/net/project/afs32/andrew.cmu.edu/usr/shadow/ka2heim.txt): <file:/afs/andrew.cmu.edu/usr/shadow/ka2heim.txt>
  26
  27 For now a few links... explanations to follow later:
  28
  29 - Setting up [[OpenSSH]] to use [[KerberosV]] authentication: you can either use PAM to authenticate people (boring) or you can add the patches at <http://www.sxw.org.uk/computing/patches/openssh.html> to use existing [[KerberosV]] tickets for single-sign-on and automatic ticket forwarding (interesting). Note that by default this patch won't grab tickets when logging in via password - post small patch to enable this later.
  30 - If you're having trouble with [[KenHornstein]]'s AFS-Kerberos5 migration kit available at <ftp://ftp.cmf.nrl.navy.mil/pub/kerberos5/>, see <http://www.mathematik.uni-karlsruhe.de/~iwrmm/Persons/Schulz/Unix/afs/afs-krb5.html> for tips. In particular check out the Makefile patches.
  31 - [[DenizKanca]] posted [Kerberos 5 and OpenAFS - Notes available](https://lists.openafs.org/pipermail/openafs-info/2003-January/007799.html) on 19-Jan-2003 saying
  32 > ... I took some notes on what I did when I set up Kerberos 5 and
  33 >
  34 >     [[OpenAFS]]
  35 >
  36 >     . Please note that this was done on a Redhat 8.0 installation and Redhat specifics (rpm, directory names etc) are assumed throughout.
  37 >
  38 >     [http://www.arayan.com/da/yazi/OpenAFS\_Kerberos\_5.html](http://www.arayan.com/da/yazi/OpenAFS_Kerberos_5.html)
  39 >
  40 >     ...
  41 - John Boyland has a [patch](http://www.cs.uwm.edu/~boyland/afs-krb5.patch) for Ken Hornstein's AFS Migration Kit v 2.0 that fixes some typos and includes updates suggested by other [[OpenAFS]] contributors.
  42 - An older AFS link page: <http://www-2.cs.cmu.edu/afs/andrew.cmu.edu/usr/shadow/www/afs.html>
  43
  44 Some other issues to explain:
  45
  46 - PAM modules available for K5
  47 - Admin differences between various K5 implementations
  48 - krb524d -- which uses a K5 TGT to produce a V4 AFS service ticket which the [[CacheManager]] needs. It does not need to run on the same machine as the [[KerberosV]] server but just needs access to the AFS principal's key. This is not needed for [[HeimdalKTH]] which implements V4 and V5 services, but is for MIT and [[ActiveDirectory]].
  49 - encryption types -- this is a per key property and V5 supports several (while V4 only supported one, namely what V5 calls des-cbc-crc). However, this is not the V5 default (which I think is des3) so you need to ensure that the AFS principal uses des-cbc-crc.
  50 - [[StringToKey]] differences
  51
  52 ### <a name="Links"></a> Links
  53
  54 #### <a name="KerberosV version 1.3.1"></a> [[KerberosV]] version 1.3.1
  55
  56 [Main Site](http://web.mit.edu/kerberos/)
  57
  58 - [install guide](http://web.mit.edu/kerberos/www/krb5-1.3/krb5-1.3.1/doc/krb5-install.html)
  59 - [user guide](http://web.mit.edu/kerberos/www/krb5-1.3/krb5-1.3.1/doc/krb5-user.html)
  60 - [admin guide](http://web.mit.edu/kerberos/www/krb5-1.3/krb5-1.3.1/doc/krb5-admin.html)
  61 - [krb425 guide](http://web.mit.edu/kerberos/www/krb5-1.3/krb5-1.3.1/doc/krb425.html)
  62
  63
  64
  65 -- [[TedAnderson]] - 22 Jan 2002 -- [[DerrickBrashear]] - 23 Jan 2002 -- [[TedAnderson]] - 23 Jan 2002 -- [[JasonGarman]] - 30 Jan 2002 -- [[TedAnderson]] - 31 Jan 2002
  66
  67 ----
  68
  69 See [[HeimdalKTH]], [[ActiveDirectory]], [[KerberosDCE]], [[AuthCommands]], [[SettingUpAuthentication]].