<Précédent | Table des matières | Suivant>

3.2.2. Configuration

Les questions posées lors de l'installation permettent de configurer le /etc/krb5.conf déposer. Si vous devez ajuster les paramètres du centre de distribution de clés (KDC), modifiez simplement le fichier et redémarrez le démon krb5-kdc. Si vous devez reconfigurer Kerberos à partir de zéro, peut-être pour changer le nom du domaine, vous pouvez le faire en tapant

sudo dpkg-reconfigurer krb5-kdc

1. Une fois que le KDC s'exécute correctement, un utilisateur administrateur -- le administrateur principal -- est nécessaire. Il est recommandé d'utiliser un nom d'utilisateur différent de votre nom d'utilisateur quotidien. À l'aide de l'utilitaire kadmin.local dans une invite de terminal, saisissez :

sudo kadmin.local

Authentification en tant que principal root/admin@EXAMPLE.COM avec mot de passe. kadmin.local : addprinc steve/admin

AVERTISSEMENT : aucune politique spécifiée pour steve/admin@EXAMPLE.COM ; par défaut, aucune stratégie. Entrez le mot de passe du principal « steve/admin@EXAMPLE.COM » :

Ressaisissez le mot de passe du principal « steve/admin@EXAMPLE.COM » : le principal « steve/admin@EXAMPLE.COM » a été créé.

kadmin.local : quitter

Dans l'exemple ci-dessus steve est le Directeur, / admin est un Instance et @EXEMPLE.COM signifie le royaume. Les "tous les jours" Principal, alias le principal de l'utilisateur, serait steve@EXAMPLE.COM et ne devrait disposer que des droits d'utilisateur normaux.

remplacer EXEMPLE.COM et steve avec votre nom d'utilisateur Realm et admin.

2. Ensuite, le nouvel utilisateur administrateur doit disposer des autorisations appropriées de la liste de contrôle d'accès (ACL). Les autorisations sont configurées dans le /etc/krb5kdc/kadm5.acl fichier:

steve/admin@EXAMPLE.COM *

Cette entrée accorde Steve/administrateur la capacité d'effectuer n'importe quelle opération sur tous les principaux du domaine. Vous pouvez configurer des principaux avec des privilèges plus restrictifs, ce qui est pratique si vous avez besoin d'un principal administrateur que le personnel junior peut utiliser dans les clients Kerberos. S'il vous plaît voir le kadm5.acl page de manuel pour plus de détails.

3. Redémarrez maintenant le serveur krb5-admin pour que la nouvelle liste de contrôle d'accès prenne effet :

sudo systemctl redémarrer krb5-admin-server.service

4. Le nouvel utilisateur principal peut être testé à l'aide de l'utilitaire kinit :

kinit steve/administrateur

Mot de passe de steve/admin@EXAMPLE.COM :

Après avoir entré le mot de passe, utilisez l'utilitaire klist pour afficher les informations sur le Ticket Granting Ticket (TGT) :

cliste

Cache des informations d'identification : FILE :/tmp/krb5cc_1000 Principal : steve/admin@EXAMPLE.COM

Émis expire le principal

13 juillet 17:53:34 14 juillet 03:53:34 krbtgt/EXAMPLE.COM@EXAMPLE.COM

Où le nom du fichier cache krb5cc_1000 est composé du préfixe krb5cc_ et l'identifiant de l'utilisateur (uid), qui dans ce cas est 1000. Vous devrez peut-être ajouter une entrée dans le / Etc / hosts pour le KDC afin que le client puisse trouver le KDC. Par exemple:

192.168.0.1 kdc01.exemple.com kdc01

Remplacement 192.168.0.1 avec l'adresse IP de votre KDC. Cela se produit généralement lorsque vous avez un domaine Kerberos englobant différents réseaux séparés par des routeurs.

5. Le meilleur moyen de permettre aux clients de déterminer automatiquement le KDC pour le domaine consiste à utiliser les enregistrements DNS SRV. Ajoutez ce qui suit à /etc/named/db.example.com:

remplacer EXEMPLE.COM, kdc01 et kdc02 avec votre nom de domaine, le KDC principal et le KDC secondaire.

Voir Chapitre 8, Service de noms de domaine (DNS) [p. 166] pour des instructions détaillées sur la configuration du DNS. Votre nouveau royaume Kerberos est maintenant prêt à authentifier les clients.

<Précédent | Table des matières | Suivant>