SV: AFS upgrade + rekey

Magnus Danielson magnus at rubidium.dyndns.org
Thu Oct 24 22:13:07 CEST 2013 

Hej

Like.

Gillar insatsen och den uppstädning det innebär. Tack Harald!

Det är ju inte bara hårdvara som behöver uppdateras utan även mjukvara och konfigurationer. Det här handlar lite om att leva som man lär. 

PS. Sitter på O'Hare och väntar på flyget hem så jag kommer inte till Stacken ikväll. 

Mvh
Magnus

-------- Originalmeddelande --------
Från: Harald Barth <haba at kth.se> 
Datum:  
Till: stacken at stacken.kth.se,staff at stacken.kth.se 
Rubrik: AFS upgrade + rekey 
 

Jag har uppgraderad vår AFS cell till att 

* använda kerberos service nyckeln afs/stacken.kth.se at STACKEN.KTH.SE
  istället för afs at STACKEN.KTH.SE

* använda AES service keys (i rxkad.keytab)

Med tillräckligt nya klienter (främst kinit och afslog) skall man
efter att köra en kinit inte märka ett smack (famous last words).
Gamla solaris från förra seklet är nog inte det.

Harald.

----------------------------------------------------

Referenser:

http://www.openafs.org/pages/security/how-to-rekey.txt

kadmin> get afs/stacken.kth.se
            Principal: afs/stacken.kth.se at STACKEN.KTH.SE
    Principal expires: 2020-12-01 23:59:59 UTC
     Password expires: never
Last password change: 2013-10-24 19:21:06 UTC
      Max ticket life: 1 month
   Max renewable life: 1 month
                 Kvno: 1
                Mkvno: unknown
Last successful login: never
    Last failed login: never
   Failed login count: 0
        Last modified: 2013-10-24 19:47:34 UTC
             Modifier: haba/admin at STACKEN.KTH.SE
           Attributes: requires-pre-auth, disallow-postdated
             Keytypes: aes128-cts-hmac-sha1-96(pw-salt)[1], aes256-cts-hmac-sha1-96(pw-salt)[1]

kadmin> get afs
            Principal: afs at STACKEN.KTH.SE
    (...)
            Attributes: disallow-all-tix
    (...)



$ klist -v

(...)

Server: afs/stacken.kth.se at STACKEN.KTH.SE
Client: haba at STACKEN.KTH.SE
Ticket etype: aes256-cts-hmac-sha1-96, kvno 1       <--------------------
Session key: des-cbc-crc                            <--------------------
Ticket length: 319
Auth time:  Oct 24 21:30:36 2013
End time:   Oct 26 21:30:34 2013
Ticket flags: transited-policy-checked, pre-authent, proxiable, forwardable
Addresses: addressless
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.stacken.kth.se/pipermail/stacken/attachments/20131024/56a5bf57/attachment.html>

More information about the Stacken mailing list