
Pete,<br><br>I was under the impression that the Kerberos +SSH setup you describe above requires a kerberos capable SSH Client. Is that correct? If so do all SSH tools like putty support this? That was the problem I was getting at, that in the environment I was in I was not able to control the SSH client, or the web browser in use, so even though technically SSH and HTTP support this. You can not count on a tool like putty, or someone favourite FTP client to have Kerberos.<br>

<br>Edward<br><br><div class="gmail_quote">On Thu, May 19, 2011 at 2:13 PM, Pete Wright <span dir="ltr"><<a href="mailto:pete@nomadlogic.org">pete@nomadlogic.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

On Thu, May 19, 2011 at 02:03:43PM -0400, Edward Capriolo wrote:<br>

> The last time I was looking at this stuff.. wink wink.. . I found myself<br>

> pretty confused as to what (if any?) software worked with IPA. I mean it is<br>

> Kerberos so I am guessing you can secure telnet and all the other mostly<br>

> useless protocol Kerberos was designed to protect. I guess you can secure<br>

> web browsing with kerberos tickets, but again, is that really common?<br>

><br>

> I ended up with the ssh-public keys in LDAP.<br>

> <a href="http://code.google.com/p/openssh-lpk/" target="_blank">http://code.google.com/p/openssh-lpk/</a>. The reason I chose this was<br>

> 1) I know LDAP<br>

> 2) People were comfortable with SSH-KEYS<br>

><br>

> I still like it as a system actually. As to the IPA stuff, i could not<br>

> figure out IF/HOW I could make it work with SSH, and the software stack<br>

> needing it's own DNS server to control was a detraction.<br>

><br>

<br>

hrm, i've used kerb-auth with ssh and i *know* that works...<br>

<br>

(sshd.conf)<br>

# Kerberos options<br>

KerberosAuthentication yes<br>

KerberosOrLocalPasswd yes<br>

KerberosTicketCleanup yes<br>

#KerberosGetAFSToken no<br>

<br>

<br>

my understanding of the role of OpenIPA is to centralize the<br>

management and auditing of ID management and authentication for<br>

heterogeneous environments.<br>

<br>

regarding the DNS requirements - that actually sorta makes sense, esp if<br>

you need to support an AD forest and are using BIND for name services.<br>

<br>

<br>

-pete<br>

<font color="#888888"><br>

--<br>

Pete Wright<br>

<a href="mailto:pete@nomadlogic.org">pete@nomadlogic.org</a><br>

<br>

</font></blockquote></div><br>