Sådan opsætter du Kerberos

Indlæg af Hanne Mølgaard Plasc

 

Bygg Master KDC

1.

Bestem navnet på dit Kerberos-område, hvordan du kortlægger dine værtsnavne i Kerberos-rige, hvilke porte Key Distribution Center (KDC) og databaseadgang (kadmin) -tjenester vil bruge, hvor mange slave KDC'er du har brug for, værtsnavnet på din master og slave KDC'er, og hvor ofte du vil udfylde databasen fra master og slave KDC'erne.

2 .

Download Kerberos .tar.gz-pakken.

3.

Åbn et Terminalvindue. Terminalvinduet findes i operativsystemets hoved 'Program' -menu under enten 'Systemværktøjer' eller 'Hjælpeprogrammer.' Du vil blive præsenteret med en kommandoprompt, hvor du skriver følgende kommandoer.

p> 4.

Flyt til det bibliotek, hvor du downloadede tarfilen. Kommandoen bliver 'cd-download', hvis du downloadede filen i en mappe kaldet 'Download'.

5.

Skriv kommandoen 'tar -zxvf krb5-1.7.tar.gz' for at udpakke Kerberos komprimerede fil.

6.

Skriv kommandoen 'cd krb5-1.7 / src' for at flytte ind i den udpakede kildemappe.

7.

Skriv kommandoen './configure' for at opbygge kildebibliotekerne.

8.

Skriv kommandoen 'make' for at oprette binærerne.

9.

Skriv kommandoen 'su' for at skifte til roden bruger.

10.

Skriv 'installer' for at installere software-binærerne.

Konfigurer Master KDC

1. < / p>

Åbn filen '/etc/krb5.conf' i et tekstredigeringsprogram.

2.

Rediger 'login', 'realms' d 'domain\_realm' for at afspejle dine oplysninger.

3.

Åbn filen '/usr/local/var/krb5kdc/kdc.conf' i et tekstredigeringsprogram.

4.

Rediger filen 'kdc.conf' for at afspejle den korrekte KDC-server.

Opret databasen

1.

Udgiv kommandoen 'kdb5\_util' i terminalvinduet.

2.

Giv hovednøglen, når du bliver bedt om det. Hovednøglen kan være en hvilken som helst streng, der ligner et kodeord.

3.

Opret en tekstfil kaldet '/usr/local/var/krb5kdc/kadm5.acl' for at tjene som adgangskortliste (acl).

Tilføj mindst en administrator til ACL-filen i formularen:
Kerberos\_principal tilladelser [target\_principal] [restriktioner]
For eksempel kan linjen:
*/admin@Example.com *
tillade at tillade 'admin' -brugere i retten 'Example.com' at have fuld tilladelse i databasen. < /p>

5.

Skriv kommandoen 'kadmin.local' ved kommandoprompten for at tilføje hver enkelt hovedstol, du har angivet i ACL-filen til databasen.

6 .

Skriv kommandoen '/ usr / local / sbin / krb5kdc; / usr / local / sbin / kadmin' for at starte Kerberos-dæmonerne på Master KDC.

Oprettelse af Keytab Fil

1.

Skriv kommandoen 'kadmin.local', som vil give dig en prompt, hvor du vil udføre de næste to trin.

2.

Skriv kommandoen 'ktadd -k / usr / local / var / krb5kdc / kad m5.keytab kadmin / admin kadmin / changepw 'for at oprette keytab filen. Udskift filen '/usr/local/var/krb5kdc/kadm5.keytab' med den keytab-placering, der er angivet i filen '/usr/local/var/krb5kdc/kdc.conf'.

3 .

Skriv 'Afslut' for at afslutte værktøjet 'kadmin.local'.

Opret slave Keytab-filen

1.

Udgiv kommandoen 'kadmin' på Master KDC. Det vil give dig en prompt, hvor du vil indtaste kommandoen i de næste to trin.

2.

Udgiv kommandoen 'addprinc -randkey host / example.com' til Mester og hver slave. Udskift 'example.com' med værtsnavnet på hver KDC.

3.

Udgiv kommandoen 'kadmin' på hver KDC for at få adgang til en anden prompt.

4.

Skriv kommandoen 'ktadd host / MasterKDC.com' for at hente værtsnavnet på hver KDC. Udskift 'MasterKDC.com' med værtsnavnet på Master KDC.

5.

Skriv 'afslut' for at afslutte kadmin-programmet.

Konfigurer slaver til databasforplantning

1.

Opret en tekstfil kaldet '/usr/local/var/krb5kdc/kpropd.acl' på hver af KDC'erne.

2.

Tilføj hvert værtsnavn til filen. Formatet vil være 'vært / example.com' med hver KDC på en separat linje.

3.

Tilføj følgende linjer til filen '/etc/inetd.conf' :
krb5\_prop stream tcp nuait root / usr / local / sbin / kpropd kpropd
eklogin stream tcp nuait root / usr / local / sbin / klogind klogind -k -c -e

4.

Tilføj følgende linjer til filen '/ etc / services':
kerberos 88 / udp kdc # Kerberos-godkendelse (udp)
kerberos 88 / tcp kdc # Kerberos-godkendelse (tcp)
krb5\_prop 754 / tcp # Kerberos slaveudbredelse
kerberos-adm 749 / tcp # Kerberos 5 admin / changepw (tcp)
Kerberos-adm 749 / udp # Kerberos 5 admin / changepw (udp)
eklogin 2105 / tcp # Kerberos krypteret rlogin

Udbred databasen på slave KDC'erne

1.

Skriv kommandoen '/ usr / local / sbin / kdb5\_util dump / usr / local / var / krb5kdc / slave\_datatrans 'ved kommandoen promp t på Master KDC for at oprette et dump af databasen.

2.

Udgiv kommandoen '/ usr / local / sbin / kprop -f / usr / local / var / krb5kdc / slave\_datatrans Slave-1.example.com 'for hver af slave KDC'erne. Udskift 'Slave-1.example.com' med navnet på Slave KDC.

3.

Kopier følgende script til en tom tekstfil:
#! / bin / sh

kdclist = 'slave-1.example.com slave-2.example.com'

/ usr / local / sbin / kdb5\_util 'dump
= u0026 gt; / usr / local / var / krb5kdc / slave\_datatrans '

til kdc i $kdclist
gør
/ usr / local / sbin / kprop -f / usr / local / var / krb5kdc / slave\_datatrans $kdc
gjort
Udskift slave-1.example.com slave-2.example.com med navnet på dine KDC'er.

4.

Gem scriptet som kdump.sh eller noget lignende, og luk filen.

5.

Opret et cron-job til at køre kdump. sh script periodisk.

Opret Stash Files på Slave KDCs

1.

Udgiv kommandoen 'kdb5\_util stash' på hver af Slave KDCs

2.

Angiv masternøglen, når du bliver bedt om det.

3.

Skriv kommandoen '/ usr / local / sbin / krb5kdc' kommandoprompten for at starte krb5kdc-dæmonen på hver slave KDC.

Kerberos er en netværksgodkendelsesprotokol, der bruges til at godkende brugere over et ikke-sikkert netværk. Det kræver, at serveren og klienten deler en fælles nøgle til at kryptere og dekryptere kommunikation. Kerberos-softwaren er en softwarepakke, der implementerer Kerberos-protokollen i en klient-server-model. Serveren har en Master Key Distribution Center (KDC), med en eller flere Slave KDC'er til redundans. Master KDC og database oprettes først, og derefter bruges til at udbrede slave KDC databasen.