Konfiguration von Kerberos und WebSSO Login auf dem Mac

Erstelle zunächst eine Datei /etc/krb5.conf mit folgendem Inhalt:

[libdefaults]

    default_realm = FAUAD.FAU.DE

    kdc_timesync = 1
    ccache_type = 4
    forwardable = true
    proxiable = true


[realms]
    FAUAD.FAU.DE = {
        kdc = fauad.fau.de:88
        auth_to_local = RULE:[1:$1]
        auth_to_local = DEFAULT
    }
    LINUX.FAU.DE = {
        kdc = linuxkdc.rrze.uni-erlangen.de:88
        auth_to_local = RULE:[1:$1]
        auth_to_local = DEFAULT
    }
    EXCH.FAU.DE = {
        kdc = exch.fau.de:88
        auth_to_local = RULE:[1:$1]
        auth_to_local = DEFAULT
    }
    UBAD.FAU.DE = {
        kdc = ubad.fau.de:88
        auth_to_local = RULE:[1:$1]
        auth_to_local = DEFAULT
    }

[domain_realm]
    www.sso.uni-erlangen.de = LINUX.FAU.DE
    .sso.uni-erlangen.de = LINUX.FAU.DE
    www.sso.fau.de = LINUX.FAU.DE
    .sso.fau.de = LINUX.FAU.DE


    .linux.fau.de = LINUX.FAU.DE
    .linux.uni-erlangen.de = LINUX.FAU.DE

    .exch.fau.de = EXCH.FAU.DE
    .ubad.fau.de = UBAD.FAU.DE

    .fau.de = FAUAD.FAU.DE
    .uni-erlangen.de = FAUAD.FAU.DE

Anschließend kann ein Kerberos Ticket vom ActiveDirectory der FAU bezogen werden:
kinit <IdM-Kennung>

Es wird nach dem Passwort gefragt und bei Erfolg sollte keine weitere Ausgabe erfolgen. Im Fehlerfall wird eine Meldung ähnlich der unten stehenden ausgegeben:

kinit: krb5_get_init_creds: Client (foobar@FAUAD.FAU.DE) unknown

Überprüfen lässt sich der aktuelle Status mit dem Kommando klist:

Credentials cache: API:EEFA7F64-10CC-4213-B36C-4E73C469FCE2
        Principal: IdM-Kennung@FAUAD.FAU.DE

  Issued                Expires               Principal
Jun 20 11:03:58 2017  Jun 20 21:03:58 2017  krbtgt/FAUAD.FAU.DE@FAUAD.FAU.DE

Ist ein Kerberos Ticket-Granting-Ticket vorhanden, hat alles geklappt. Testen lässt sich das z.B. durch verbinden eines Netzlaufwerkes, welches über die FAUAD authentifiziert wird, etwa smb://home.rrze.uni-erlangen.de/IdM-Kennung. Es sollte nun kein Benutzername/Passwort Dialog beim Verbinden mehr erscheinen (vorher das ggf. im Schlüsselbund hinterlegte Passwort löschen, sonst wird dieses verwendet).

Kerberos Ticket automatisch beim Login holen

Wir empfehlen das Programm NoMAD dafür zu verwenden. Es kann beim Login gestartet werden und holt automatisch ein Kerberos Ticket. Die Konfiguration ist selbsterklärend, als **AD Domain** bitte **fauad.fau.de** eintragen. Der Rest kann leer gelassen werden.

Einrichten von Webbrowsern zum automatischen Login in WebSSO

Der WebSSO Login per Kerberos Ticket funktioniert, Stand Juni 2017, nur aus den Netzen der Universität.

Bei manueller Abmeldung vom WebSSO erfolgt anschließend kein erneuter automatischer Login! Dazu den Browser beenden und neu starten.

Safari

es ist keine Konfiguration nötig. Sobald ein TGT vorhanden ist, klappt der Rest von selbst.

Google Chrome & Chromium

Am einfachsten ist es, folgendes Konfigurationsprofil zu installieren:

WebSSO Konfiguration für Google Chrome & Chromium

Mozilla Firefox

  • In der Adressleiste “ about:config “ eingeben
  • die Sicherheitswarnung bestätigen
  • folgende Einträge anpassen:
network.negotiate-auth.delegation-uris = .sso.uni-erlangen.de,.sso.fau.de
network.negotiate-auth.trusted-uris = .sso.uni-erlangen.de,.sso.fau.de