Pete,<br><br>I was under the impression that the Kerberos +SSH setup you describe above requires a kerberos capable SSH Client. Is that correct? If so do all SSH tools like putty support this? That was the problem I was getting at, that in the environment I was in I was not able to control the SSH client, or the web browser in use, so even though technically SSH and HTTP support this. You can not count on a tool like putty, or someone favourite FTP client to have Kerberos.<br>
<br>Edward<br><br><div class="gmail_quote">On Thu, May 19, 2011 at 2:13 PM, Pete Wright <span dir="ltr"><<a href="mailto:pete@nomadlogic.org">pete@nomadlogic.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
On Thu, May 19, 2011 at 02:03:43PM -0400, Edward Capriolo wrote:<br>
> The last time I was looking at this stuff.. wink wink.. . I found myself<br>
> pretty confused as to what (if any?) software worked with IPA. I mean it is<br>
> Kerberos so I am guessing you can secure telnet and all the other mostly<br>
> useless protocol Kerberos was designed to protect. I guess you can secure<br>
> web browsing with kerberos tickets, but again, is that really common?<br>
><br>
> I ended up with the ssh-public keys in LDAP.<br>
> <a href="http://code.google.com/p/openssh-lpk/" target="_blank">http://code.google.com/p/openssh-lpk/</a>. The reason I chose this was<br>
> 1) I know LDAP<br>
> 2) People were comfortable with SSH-KEYS<br>
><br>
> I still like it as a system actually. As to the IPA stuff, i could not<br>
> figure out IF/HOW I could make it work with SSH, and the software stack<br>
> needing it's own DNS server to control was a detraction.<br>
><br>
<br>
hrm, i've used kerb-auth with ssh and i *know* that works...<br>
<br>
(sshd.conf)<br>
# Kerberos options<br>
KerberosAuthentication yes<br>
KerberosOrLocalPasswd yes<br>
KerberosTicketCleanup yes<br>
#KerberosGetAFSToken no<br>
<br>
<br>
my understanding of the role of OpenIPA is to centralize the<br>
management and auditing of ID management and authentication for<br>
heterogeneous environments.<br>
<br>
regarding the DNS requirements - that actually sorta makes sense, esp if<br>
you need to support an AD forest and are using BIND for name services.<br>
<br>
<br>
-pete<br>
<font color="#888888"><br>
--<br>
Pete Wright<br>
<a href="mailto:pete@nomadlogic.org">pete@nomadlogic.org</a><br>
<br>
</font></blockquote></div><br>