На головну

Налаштування Heimdal KDC

  1.  A.5.3. Налаштування CVSup
  2.  Автоматична настройка Internet Explorer на комп'ютері підприємства.
  3.  Глава 5 Налаштування дати і часу
  4.  Глава 8 Налаштування основних компонентів ПК
  5.  Завершальна настройка системи
  6.  Знайомство з Windows Vista і настройка інтерфейсу
  7.  Клієнт Kerberos з Heimdal

Центр поширення ключів (Key Distribution Center, KDC) це централізований сервіс аутентифікації, що надається Kerberos - Це комп'ютер, який надає доступ через Kerberos. KDC вважається довіряти будь-кому іншими комп'ютерами з певним ідентифікатором Kerberos і тому до нього пред'являються високі вимоги безпеки.

Майте на увазі, що хоча робота сервера Kerberos вимагає дуже небагато обчислювальних ресурсів, з міркувань безпеки для нього рекомендується окремий комп'ютер, що працює тільки в якості KDC.

Перед початком настройки KDC, переконайтеся що у файлі /etc/rc.conf містяться правильні настройки для роботи в якості KDC (вам може знадобитися змінити шляху відповідно до власної системою):

kerberos5_server_enable = "YES"

kadmind5_server_enable = "YES"

Потім приступимо до редагування файлу налаштування Kerberos, /etc/krb5.conf:

[Libdefaults]

default_realm = EXAMPLE.ORG

[Realms]

EXAMPLE.ORG = {

kdc = kerberos.example.org

admin_server = kerberos.example.org

}

[Domain_realm]

.example.org = EXAMPLE.ORG

Зверніть увагу що в файлі /etc/krb5.conf мається на увазі наявність у KDC повного імені kerberos.example.org. Вам буде потрібно додати CNAME (синонім) до файлу зони, якщо у KDC інше ім'я.

зауваження:Для великих мереж з правильно налаштованим сервером BIND DNS приклад вище може бути урізаний до:

[Libdefaults]

default_realm = EXAMPLE.ORG

З такими рядками, доданими в файл зони example.org:

_kerberos._udp IN SRV 01 00 88 kerberos.example.org.

_kerberos._tcp IN SRV 01 00 88 kerberos.example.org.

_kpasswd._udp IN SRV 01 00 464 kerberos.example.org.

_kerberos-adm._tcp IN SRV 01 00 749 kerberos.example.org.

_kerberos IN TXT EXAMPLE.ORG

зауваження:Щоб клієнти могли знайти сервіси Kerberos, необхідно наявність або повністю налаштованого /etc/krb5.conf або мінімально налаштованого /etc/krb5.conf и правильно налаштованого DNS сервера.

Створимо тепер базу даних Kerberos. Ця база даних містить ключі всіх основних хостів, зашифрованих за допомогою головного пароля. Вам не потрібно пам'ятати цей пароль, він зберігається в файлі (/ var / heimdal / m-key). Для створення головного ключа запустіть kstash і введіть пароль.

Як тільки буде створено головний ключ, ви можете форматувати базу даних за допомогою програми kadmin з ключем -l (що означає '' local ''). Цей ключ повідомляє kadmin звертатися до файлів бази даних безпосередньо замість використання мережевого сервісу kadmind. Це допомагає вирішити '' проблему курки і яйця '', коли звернення йде до ще не створеній базі даних. Як тільки ви побачите запрошення kadmin, використовуйте команду init для створення бази даних ідентифікаторів.

Нарешті, залишаючись в запрошенні kadmin, створіть перший запис за допомогою команди add. Залиште незмінними параметри за замовчуванням, ви завжди зможете змінити їх пізніше за допомогою команди modify. Зверніть увагу, що ви завжди можете використовувати команду? для перегляду доступних параметрів.

Приклад створення бази даних показаний нижче:

# kstash

Master key: xxxxxxxx

Verifying password - Master key: xxxxxxxx

# kadmin -l

kadmin> init EXAMPLE.ORG

Realm max ticket life [unlimited]:

kadmin> add tillman

Max ticket life [unlimited]:

Max renewable life [unlimited]:

Attributes []:

Password: xxxxxxxx

Verifying password - Password: xxxxxxxx

Тепер прийшов час запустити сервіси KDC. Виконайте команди /etc/rc.d/kerberos start і /etc/rc.d/kadmind start для запуску сервісів. Зауважте, що жоден з підтримують Kerberos даемонов на цей момент запущений не буде, але у вас повинна бути можливість переконатися в тому, що KDC функціонує шляхом отримання списку доступу для користувача, якого ви тільки що самостійно створили з командного рядка самого KDC:

% k5init tillman

tillman@EXAMPLE.ORG's Password:

% k5list

Credentials cache: FILE: / tmp / krb5cc_500

Principal: tillman@EXAMPLE.ORG

Issued Expires Principal

Aug 27 15:37:58 Aug 28 1:37:58 krbtgt/EXAMPLE.ORG@EXAMPLE.ORG



 Історія |  Сервер Kerberos з сервісами Heimdal

 Створення декількох одноразових паролів |  TCP Wrappers |  Початкова настройка |  зовнішні команди |  Створення бази даних |  запуск Kerberos |  Тестування всієї системи |  включення su |  Використання інших команд |  Kerberos5 |

© um.co.ua - учбові матеріали та реферати