Red Hat Enterprise Linux 3: Referenzhandbuch | ||
---|---|---|
Zurück | Kapitel 18. Kerberos | Nach vorne |
Installieren Sie zuerst den Server, wenn Sie Kerberos einrichten. Wenn Sie Slave-Server einrichten müssen, finden Sie Detailinformationen zum Festlegen der Beziehungen zwischen den Master- und Slave-Servern im Kerberos 5 Installation Guide im Verzeichnis /usr/share/doc/krb5-server- <Versionsnummer> (ersetzen Sie <version-number> mit der Versionsnummer des auf Ihrem System installierten krb5-server-Pakets).
Führen Sie diese Schritte aus, um einen Kerberos-Server zu konfigurieren:
Stellen Sie sicher, dass die Zeitsynchronisierung und DNS auf dem Server funktionieren, ehe Sie Kerberos 5 konfigurieren. Schenken Sie der Zeitsynchronisierung zwischen dem Kerberos-Server und seinen verschiedenen Clients besondere Aufmerksamkeit. Überschreitet die Zeitdifferenz zwischen der Server- und den Clientuhren fünf Minuten (der Standardwert kann in Kerberos 5 konfiguriert werden), sind die Kerberos-Clients nicht in der Lage, sich am Server anzumelden. Diese Zeitsynchronisierung ist notwendig, um Angreifer davon abzuhalten, ein altes Kerberos-Ticket zu verwenden, um sich als gültigen Benutzer auszugeben.
Selbst wenn Sie Kerberos nicht verwenden, sollten Sie ein NTP-kompatibles Client-Server-Netzwerk einrichten. Red Hat Enterprise Linux beeinhaltet hierfür das ntp-Paket. Weitere Informationen finden Sie unter /usr/share/doc/ntp-<version-number>/index.htm zum Einrichten eines NTP Servers und http://www.eecis.udel.edu/~ntp für zusätzliche Informationen zu NTP.
Installieren Sie auf dem dafür abgestellten Rechner, auf dem KDC ausgeführt wird, die Pakete krb5-libs, krb5-server und krb5-workstation. Dieser Rechner muss extrem sicher sein — wenn möglich, sollten außer KDC keine anderen Services ausgeführt werden.
Wenn Sie Kerberos mit einem GUI-Utility verwalten möchten, sollten Sie auch das gnome-kerberos-Paket installieren. Es enthält krb5, ein GUI-Tool zum Verwalten von Tickets.
Bearbeiten Sie die Konfigurationsdateien /etc/krb5.conf und /var/kerberos/krb5kdc/kdc.conf, um den Realm-Namen sowie die Domain-Realm-Zuordnungen anzugeben. Ein einfacher Realm kann durch das Ersetzen von Instanzen von BEISPIEL.COM und Beispiel.com durch Ihren Domainnamen erstellt werden — beachten Sie die Groß- und Kleinschreibung — sowie durch Ändern des KDC von Kerberos.Beispiel.com in den Namen des Kerberos-Servers. Hierbei gilt, dass alle Realm-Namen groß und alle DNS-Hostnamen und Domainnamen klein geschrieben werden. Weitere Informationen zum Format dieser Dateien finden Sie auf den jeweiligen man-Seiten.
Erstellen Sie die Datenbank mit Hilfe des Dienstprogramms kdb5_util von einem Shell-Prompt:
/usr/kerberos/sbin/kdb5_util create -s |
Der Befehl create erstellt die Datenbank, die zum Speichern der Schlüssel für den Kerberos-Realm verwendet wird. Der Switch -s erzwingt die Erstellung einer stash-Datei, in der der Master-Server-Schlüssel gespeichert wird. Ist keine stash-Datei vorhanden, von der der Schlüssel gelesen werden kann, fordert der Kerberos-Server (krb5kdc) die Benutzer bei jedem Start zur Eingabe des Passwortes des Master-Servers auf (wodurch der Schlüssel erneut generiert werden kann).
Bearbeiten Sie die Datei /var/kerberos/krb5kdc/kadm5.acl. Diese Datei wird von kadmind zum Ermitteln der Principals mit Zugriff auf die Kerberos-Datenbank sowie deren Zugriffslevel verwendet. Die meisten Organisationen kommen mit einer einzigen Zeile aus:
*/admin@EXAMPLE.COM * |
Die meisten Benutzer werden in der Datenbank durch einen einzelnen Principal dargestellt (mit einer NULL oder leeren Instanz wie zum Beispiel joe@EXAMPLE.COM). Mit dieser Konfiguration können Benutzer mit einem zweiten Principal mit einer admin-Instanz (zum Beispiel joe/admin@EXAMPLE.COM) kompletten Zugriff auf die Kerberos-Datenbank des Realm erhalten.
Sobald kadmind auf dem Server gestartet ist, können alle Benutzer auf die Dienste zugreifen, indem sie auf einem beliebigen Client oder Server im Realm kadmin ausführen. Allerdings können nur die in der Datei kadm5.acl genannten Benutzer die Datenbank ändern, ausgenommen das eigene Passwort.
![]() | Anmerkung |
---|---|
Das kadmin-Utility kommuniziert mit dem kadmind-Server über das Netzwerk, wobei Kerberos für die Authentifizierung verwendet wird. Sie müssen natürlich den ersten Principal erstellen, ehe Sie eine Verbindung mit dem Server über das Netzwerk herstellen können, um diesenzu verwalten. Erstellen Sie den ersten Principal mit dem Befehl kadmin.local, der speziell für den Gebrauch auf demselben Host wie KDC entworfen ist und Kerberos nicht zur Authentifizierung verwendet. |
Geben Sie am KDC-Terminal den folgenden kadmin.local-Befehl ein, um den ersten Principal zu erstellen:
/usr/kerberos/sbin/kadmin.local -q "addprinc username/admin" |
Starten Sie Kerberos mit Hilfe der folgenden Befehle:
/sbin/service krb5kdc start /sbin/service kadmin start /sbin/service krb524 start |
Fügen Sie Principals für Ihre Benutzer mit Hilfe des Befehls addprinc mit kadmin hinzu. kadmin und kadmin.local auf dem Master-KDC sind die Befehlszeilenschnittstellen zum KDC. Insofern stehen viele Befehle nach dem Starten des kadmin-Programms zur Verfügung. Weitere Informationen finden Sie auf der man-Seite zu kadmin.
Überprüfen Sie, ob das KDC Tickets ausgibt. Führen Sie zuerst kinit aus, um ein Ticket zu erhalten, und speichern Sie es in einer Credential-Cache-Datei. Zeigen Sie dann mit klist eine Referenzenliste im Cache an und verwenden Sie kdestroy, um den Cache sowie die enthaltenen Referenzen zu zerstören.
![]() | Anmerkung |
---|---|
Standardmäßig versucht kinit, Sie mit Hilfe des Anmeldenamens des Kontos zu authentifizieren, das Sie zur ersten Anmeldung am System verwendeten (nicht am Kerberos-Server). Entspricht der Systembenutzername keinem Principal in der Kerberos- Datenbank, gibt kinit eine Fehlermeldung aus. Geben Sie in diesem Fall kinit den Namen Ihres Principal als Argument auf der Befehlszeile an (kinit <principal>). |
Wenn Sie oben genannte Schritte ausgeführt haben, sollte Ihr Kerberos-Server korrekt funktionieren.
Zurück | Zum Anfang | Nach vorne |
Kerberos und PAM | Nach oben | Konfigurieren eines Kerberos 5-Clients |