18.6. Konfigurieren eines Kerberos 5-Clients

Das Einrichten eines Kerberos 5-Client ist wesentlich einfacher als das Einrichten eines Servers. Sie sollten zumindest die Clientpakete installieren und den Clients eine gültige krb5.conf-Konfigurationsdatei zur Verfügung stellen. Kerberisierte Versionen von rsh und rlogin erfordern ebenfalls einige Konfigurationsänderungen.

  1. Stellen Sie sicher, dass zwischen dem Kerberos-Client und KDC Zeitsynchronisierung vorhanden ist. Weitere Informationen finden Sie unter Abschnitt 18.5. Zudem sollten Sie prüfen, dass DNS auf dem Kerberos-Client fehlerfrei läuft, bevor die Kerberos-Clientprogramme installiert werden.

  2. Installieren Sie die Pakete krb5-libs und krb5-workstation auf allen Client-Rechnern. Für jeden Client müssen Sie eine gültige Version von /etc/krb5.conf zur Verfügung stellen (dies kann normalerweise dieselbe krb5.conf-Datei sein, die von KDC verwendet wird).

  3. Ehe eine bestimmte Workstation im Realm Benutzern das Herstellen einer Verbindung mit Hilfe der kerberisierten Befehle rsh und rlogin erlaubt, muss auf der Workstation zum einen das xinetd-Paket installiert sein und zum anderen muss sie ihren eigenen Hostprincipal in der Kerberos-Datenbank haben. Die Serverprogramme kshd und klogind benötigen ebenfalls Zugriff auf die Schlüssel für den Principal ihres Services.

    Mit Hilfe von kadmin fügen Sie einen Hostprincipal für die Workstation auf dem KDC hinzu. Die Instanz ist in diesem Fall der Hostname der Workstation. Sie können die Option -randkey für den kadmin-Befehl addprinc verwenden, um den Principal zu erstellen und ihm einen zufällig ausgewählten Schlüssel zuweisen:

    addprinc -randkey host/blah.example.com

    Nachdem der Principal erstellt ist, können Sie die Schlüssel für die Workstation extrahieren, indem Sie kadmin auf der Workstation selbst ausführen und den Befehl ktadd in kadmin verwenden:

    ktadd -k /etc/krb5.keytab host/blah.example.com
  4. Sollten Sie andere kerberisierten Netzwerk-Services benutzen wollen, müssen diese gestartet werden. Folgend ist eine Liste der gebräuchlicheren kerberisierten Services und Anleitungen zum Aktivieren dieser:

    • rsh und rlogin — Um die kerberisierten Versionen von rsh und rlogin zu verwenden, müssen Sie klogin, eklogin und kshell aktivieren.

    • Telnet — Um das kerberisierte Telnet verwenden zu können, müssen Sie krb5-telnet aktivieren.

    • FTP — Zum Bereitstellen von FTP-Zugriff müssen Sie einen Schlüssel für einen Principal mit einem root von ftp erstellen und extrahieren. Dabei muss die Instanz auf den Hostnamen des FTP-Servers festgelegt sein. Aktivieren Sie dann gssftp.

    • IMAP — Der IMAP-Server, im imap-Paket enthalten, verwendet die GSS-API-Authentifizierung unter Verwendung von Kerberos 5, wenn es den richtigen Key in /etc/krb5.keytab findet. Der root für den Principal sollte imap sein.

    • CVS — CVSs kerberisierter gserver verwendet einen Principal mit cvs als root. Andernfalls stimmt er mit pserver überein.

    Detaillierte Informationen zum Aktivieren von Services finden Sie im Kapitel Zugriffskontrolle für Dienste im Red Hat Enterprise Linux Handbuch zur System-Administration.