Dokumentation3.2.1. Installation
Für diese Diskussion erstellen wir eine MIT-Kerberos-Domäne mit den folgenden Funktionen (bearbeiten Sie sie entsprechend Ihren Anforderungen):
• Reich: BEISPIEL.COM
• Primäres KDC: kdc01.example.com (192.168.0.1)
• Sekundäres KDC: kdc02.example.com (192.168.0.2)
• Benutzerprinzipal: steve
• Admin-Prinzipal: Steve/Administrator
starker Es wird empfohlen, dass die UID Ihrer netzwerkauthentifizierten Benutzer in einem anderen Bereich liegt (z. B. beginnend bei 5000) als die Ihrer lokalen Benutzer.
Vor der Installation des Kerberos-Servers ist ein ordnungsgemäß konfigurierter DNS-Server für Ihre Domäne erforderlich. Da der Kerberos-Realm per Konvention mit dem Domänennamen übereinstimmt, verwendet dieser Abschnitt die EXAMPLE.COM-Domäne, die in Abschnitt 2.3, „Primärer Master“ [S. 169] der DNS-Dokumentation.
Außerdem ist Kerberos ein zeitkritisches Protokoll. Wenn also die lokale Systemzeit zwischen einem Client-Rechner und dem Server um mehr als fünf Minuten abweicht (standardmäßig), ist die Workstation nicht in der Lage, sich zu authentifizieren. Um das Problem zu beheben, sollte die Zeit aller Hosts über denselben NTP-Server (Network Time Protocol) synchronisiert werden. Einzelheiten zum Einrichten von NTP finden Sie in Abschnitt 4, „Zeitsynchronisierung“ [S. 55].
Der erste Schritt beim Erstellen eines Kerberos-Realms ist die Installation der Pakete krb5-kdc und krb5-admin-server. Geben Sie an einem Terminal Folgendes ein:
sudo apt install krb5-kdc krb5-admin-server
Am Ende der Installation werden Sie aufgefordert, den Hostnamen für die Kerberos- und Admin-Server für den Bereich anzugeben, bei denen es sich ggf. um denselben Server handeln kann.
Standardmäßig wird der Bereich aus dem Domänennamen des KDC erstellt.
Als nächstes erstellen Sie den neuen Bereich mit dem Dienstprogramm kdb5_newrealm:
sudo krb5_newrealm