3.4.2. Configuration
Um den Client in einem Terminal zu konfigurieren, geben Sie Folgendes ein:
sudo dpkg-reconfigure krb5-config
Anschließend werden Sie aufgefordert, den Namen des Kerberos-Realms einzugeben. Auch wenn Ihr DNS nicht mit Kerberos konfiguriert ist SRV Datensätze eingeben, werden Sie im Menü zur Eingabe des Hostnamens des Key Distribution Center (KDC) und des Realm Administration-Servers aufgefordert.
Die dpkg-reconfigure fügt Einträge zum hinzu /etc/krb5.conf Datei für Ihr Realm. Sie sollten Einträge ähnlich den folgenden haben:
[libdefaults]
default_realm = EXAMPLE.COM
...
[Bereiche]
EXAMPLE.COM = {
kdc = 192.168.0.1
admin_server = 192.168.0.1
}
Wenn Sie die UID jedes Ihrer netzwerkauthentifizierten Benutzer so festlegen, dass sie bei 5000 beginnt, wie in Abschnitt 3.2.1, „Installation“ [S. 147] können Sie pam dann anweisen, nur zu versuchen, sich mit Kerberos-Benutzern mit UID > 5000 zu authentifizieren:
# Kerberos sollte nur auf LDAP/Kerberos-Benutzer angewendet werden, nicht auf lokale. für i in common-auth common-session common-account common-password; Tun
sudo sed -i -r
-e 's/pam_krb5.so minimum_uid=1000/pam_krb5.so minimum_uid=5000/'
/etc/pam.d/$i fertig
Dadurch wird vermieden, dass ein lokal authentifizierter Benutzer beim Ändern seines Passworts nach dem (nicht vorhandenen) Kerberos-Passwort gefragt wird passwd.
Sie können die Konfiguration testen, indem Sie mit dem Dienstprogramm kinit ein Ticket anfordern. Zum Beispiel:
kinit steve@EXAMPLE.COM
Password for steve@EXAMPLE.COM:
Wenn ein Ticket erteilt wurde, können die Details mit klist eingesehen werden:
klist
Ticket cache: FILE:/tmp/krb5cc_1000 Default principal: steve@EXAMPLE.COM
Gültiger Dienstprinzipal, der abläuft
07/24/08 05:18:56 07/24/08 15:18:56 krbtgt/EXAMPLE.COM@EXAMPLE.COM
verlängern bis 07 25:08:05
Kerberos 4-Ticket-Cache: /tmp/tkt1000 klist: Es sind keine Tickets zwischengespeichert
Als nächstes verwenden Sie die auth-client-config, um das libpam-krb5-Modul so zu konfigurieren, dass es während der Anmeldung ein Ticket anfordert:
sudo auth-client-config -a -p kerberos_example
Nach erfolgreicher Login-Authentifizierung sollten Sie nun ein Ticket erhalten.