3.2.2. Configuration
Die bei der Installation gestellten Fragen dienen der Konfiguration /etc/krb5.conf Datei. Wenn Sie die Einstellungen des Key Distribution Center (KDC) anpassen müssen, bearbeiten Sie einfach die Datei und starten Sie den krb5-kdc-Daemon neu. Wenn Sie Kerberos von Grund auf neu konfigurieren müssen, beispielsweise um den Realm-Namen zu ändern, können Sie dies durch Eingabe tun
sudo dpkg-reconfigure krb5-kdc
1. Sobald das KDC ordnungsgemäß ausgeführt wird, wird ein Admin-Benutzer – der Admin-Prinzipal -- wird gebraucht. Es wird empfohlen, einen anderen Benutzernamen als Ihren normalen Benutzernamen zu verwenden. Geben Sie mit dem Dienstprogramm kadmin.local in einer Terminal-Eingabeaufforderung Folgendes ein:
sudo kadmin.local
Authentifizierung als Haupt-Root/[E-Mail geschützt] mit Passwort. kadmin.local: addprinc steve/admin
WARNUNG: Keine Richtlinie für Steve/ angegeben[E-Mail geschützt] ; Standardmäßig wird keine Richtlinie verwendet. Geben Sie das Passwort für den Prinzipal „steve/“ ein.[E-Mail geschützt] ":
Geben Sie das Passwort für den Schulleiter „steve/“ erneut ein.[E-Mail geschützt] ": Schulleiter "steve/[E-Mail geschützt] " erstellt.
kadmin.local: verlassen
Im obigen Beispiel steve lernen muss die Principal, /Administrator ist ein Beispiel und @EXAMPLE.COM bezeichnet das Reich. Der "täglich" Schulleiter, auch bekannt als der Benutzerprinzipal, wäre [E-Mail geschützt] , und sollte nur normale Benutzerrechte haben.
Ersetzen BEISPIEL.COM und steve mit Ihrem Realm- und Admin-Benutzernamen.
2. Als Nächstes muss der neue Admin-Benutzer über die entsprechenden ACL-Berechtigungen (Access Control List) verfügen. Die Berechtigungen werden im konfiguriert /etc/krb5kdc/kadm5.acl Datei:
steve/[E-Mail geschützt] *
Dieser Eintrag gewährt Steve/Administrator die Fähigkeit, jede Operation für alle Principals im Bereich auszuführen. Sie können Prinzipale mit restriktiveren Berechtigungen konfigurieren. Dies ist praktisch, wenn Sie ein Administratorprinzipal benötigen, das Nachwuchskräfte in Kerberos-Clients verwenden können. Bitte sehen Sie sich ... an kadm5.acl man-Seite für Details.
3. Starten Sie nun den krb5-admin-server neu, damit die neue ACL wirksam wird:
sudo systemctl restart krb5-admin-server.service
4. Der neue Benutzerprinzipal kann mit dem Dienstprogramm kinit getestet werden:
kinit steve/admin
steve/[E-Mail geschützt] Passwort des Benutzers:
Nachdem Sie das Passwort eingegeben haben, verwenden Sie das Dienstprogramm klist, um Informationen zum Ticket Granting Ticket (TGT) anzuzeigen:
klist
Cache für Anmeldeinformationen: FILE:/tmp/krb5cc_1000 Prinzipal: steve/[E-Mail geschützt]
Ausgestellter Expires Principal
13. Juli 17:53:34 14. Juli 03:53:34 krbtgt/[E-Mail geschützt]
Wo der Cache-Dateiname ist krb5cc_1000 setzt sich aus dem Präfix zusammen krb5cc_ und die Benutzer-ID (uid), die in diesem Fall lautet 1000. Möglicherweise müssen Sie einen Eintrag hinzufügen / Etc / hosts für das KDC, damit der Client das KDC finden kann. Zum Beispiel:
192.168.0.1 kdc01.example.com kdc01
Ersetzung 192.168.0.1 mit der IP-Adresse Ihres KDC. Dies geschieht normalerweise, wenn Sie über einen Kerberos-Bereich verfügen, der verschiedene Netzwerke umfasst, die durch Router getrennt sind.
5. Die beste Möglichkeit, Clients die automatische Ermittlung des KDC für den Realm zu ermöglichen, ist die Verwendung von DNS-SRV-Einträgen. Fügen Sie Folgendes hinzu /etc/named/db.example.com:
_kerberos._udp.EXAMPLE.COM. | IN | SRV | 1 | 0 | 88 | kdc01.example.com. |
_kerberos._tcp.EXAMPLE.COM. | IN | SRV | 1 | 0 | 88 | kdc01.example.com. |
_kerberos._udp.EXAMPLE.COM. | IN | SRV | 10 | 0 | 88 | kdc02.example.com. |
_kerberos._tcp.EXAMPLE.COM. | IN | SRV | 10 | 0 | 88 | kdc02.example.com. |
_kerberos-adm._tcp.EXAMPLE.COM. | IN | SRV | 1 | 0 | 749 | kdc01.example.com. |
_kpasswd._udp.EXAMPLE.COM. | IN | SRV | 1 | 0 | 464 | kdc01.example.com. |
Ersetzen BEISPIEL.COM, kdc01 und kdc02 mit Ihrem Domänennamen, primärem KDC und sekundärem KDC.
Siehe Kapitel 8, Domain Name Service (DNS) [S. 166] für detaillierte Anweisungen zum Einrichten von DNS. Ihr neuer Kerberos-Realm ist jetzt für die Authentifizierung von Clients bereit.