AFS upgrade + rekey
Harald Barth
haba at kth.se
Thu Oct 24 21:51:49 CEST 2013
Jag har uppgraderad vår AFS cell till att
* använda kerberos service nyckeln afs/stacken.kth.se at STACKEN.KTH.SE
istället för afs at STACKEN.KTH.SE
* använda AES service keys (i rxkad.keytab)
Med tillräckligt nya klienter (främst kinit och afslog) skall man
efter att köra en kinit inte märka ett smack (famous last words).
Gamla solaris från förra seklet är nog inte det.
Harald.
----------------------------------------------------
Referenser:
http://www.openafs.org/pages/security/how-to-rekey.txt
kadmin> get afs/stacken.kth.se
Principal: afs/stacken.kth.se at STACKEN.KTH.SE
Principal expires: 2020-12-01 23:59:59 UTC
Password expires: never
Last password change: 2013-10-24 19:21:06 UTC
Max ticket life: 1 month
Max renewable life: 1 month
Kvno: 1
Mkvno: unknown
Last successful login: never
Last failed login: never
Failed login count: 0
Last modified: 2013-10-24 19:47:34 UTC
Modifier: haba/admin at STACKEN.KTH.SE
Attributes: requires-pre-auth, disallow-postdated
Keytypes: aes128-cts-hmac-sha1-96(pw-salt)[1], aes256-cts-hmac-sha1-96(pw-salt)[1]
kadmin> get afs
Principal: afs at STACKEN.KTH.SE
(...)
Attributes: disallow-all-tix
(...)
$ klist -v
(...)
Server: afs/stacken.kth.se at STACKEN.KTH.SE
Client: haba at STACKEN.KTH.SE
Ticket etype: aes256-cts-hmac-sha1-96, kvno 1 <--------------------
Session key: des-cbc-crc <--------------------
Ticket length: 319
Auth time: Oct 24 21:30:36 2013
End time: Oct 26 21:30:34 2013
Ticket flags: transited-policy-checked, pre-authent, proxiable, forwardable
Addresses: addressless
More information about the Stacken
mailing list