doc/KerberizedServer

   1 = Enabling Kerberos logins for your server =
   2
   3 If you want kerberized logins on a server you run, you'll need a '''keytab''' from accounts.  Fill out the [http://web.mit.edu/accounts/www/srvtabform.html keytab request form], which sends them an e-mail.  Ask for a "keytab"; by default they'll give you a srvtab, the Kerberos 4 analogue.
   4
   5 Your new keytab will be in {{{/mit/accounts/srvtabs/FOR_YOURUSERNAME}}}, which is AFS and vaguely insecure.  You probably want to install it in {{{/etc/krb5.keytab}}}, and then randomize the key.
   6 {{{
   7 # mv -f /etc/krb5.keytab /etc/krb5.keytab.old  # back up any keytab you already have
   8 # mv /mit/accounts/srvtabs/FOR_JOEUSER/joeserver-new-keytab /etc/krb5.keytab
   9 # k5srvutil change
  10 }}}
  11
  12 Then make sure your {{{/etc/ssh/sshd_config}}} file includes the lines
  13
  14 {{{
  15 GSSAPIAuthentication yes
  16 GSSAPIKeyExchange yes
  17 }}}
  18
  19 This will let you SSH in with Kerberos.
  20
  21 Then create a file called {{{.k5login}}} in the home directory of whichever users you want to be able log into with Kerberos. List the full KerberosPrincipal of each user, one per line (e.g., {{{joeuser@ATHENA.MIT.EDU}}})
  22
  23 == Dealing with srvtabs ==
  24
  25 If you don't specifically mention a "keytab" in your request to Accounts, they may give you the Kerberos 4 equivalent, a srvtab.
  26
  27 In this case you'll want to convert the srvtab to a keytab, like so.
  28 {{{
  29 $ ktutil
  30 ktutil: rst /mit/accounts/srvtabs/FOR_JOEUSER/joeserver-new-srvtab
  31 ktutil: wkt /etc/krb5.keytab
  32 ktutil: q
  33 }}}