<Précédent | Table des matières | Suivant>
3.2.2. Configuration
Les questions posées lors de l'installation permettent de configurer le /etc/krb5.conf déposer. Si vous devez ajuster les paramètres du centre de distribution de clés (KDC), modifiez simplement le fichier et redémarrez le démon krb5-kdc. Si vous devez reconfigurer Kerberos à partir de zéro, peut-être pour changer le nom du domaine, vous pouvez le faire en tapant
sudo dpkg-reconfigurer krb5-kdc
1. Une fois que le KDC s'exécute correctement, un utilisateur administrateur -- le administrateur principal -- est nécessaire. Il est recommandé d'utiliser un nom d'utilisateur différent de votre nom d'utilisateur quotidien. À l'aide de l'utilitaire kadmin.local dans une invite de terminal, saisissez :
sudo kadmin.local
Authentification en tant que principal root/admin@EXAMPLE.COM avec mot de passe. kadmin.local : addprinc steve/admin
AVERTISSEMENT : aucune politique spécifiée pour steve/admin@EXAMPLE.COM ; par défaut, aucune stratégie. Entrez le mot de passe du principal « steve/admin@EXAMPLE.COM » :
Ressaisissez le mot de passe du principal « steve/admin@EXAMPLE.COM » : le principal « steve/admin@EXAMPLE.COM » a été créé.
kadmin.local : quitter
Dans l'exemple ci-dessus steve est le Directeur, / admin est un Instance et @EXEMPLE.COM signifie le royaume. Les "tous les jours" Principal, alias le principal de l'utilisateur, serait steve@EXAMPLE.COM et ne devrait disposer que des droits d'utilisateur normaux.
remplacer EXEMPLE.COM et steve avec votre nom d'utilisateur Realm et admin.
2. Ensuite, le nouvel utilisateur administrateur doit disposer des autorisations appropriées de la liste de contrôle d'accès (ACL). Les autorisations sont configurées dans le /etc/krb5kdc/kadm5.acl fichier:
steve/admin@EXAMPLE.COM *
Cette entrée accorde Steve/administrateur la capacité d'effectuer n'importe quelle opération sur tous les principaux du domaine. Vous pouvez configurer des principaux avec des privilèges plus restrictifs, ce qui est pratique si vous avez besoin d'un principal administrateur que le personnel junior peut utiliser dans les clients Kerberos. S'il vous plaît voir le kadm5.acl page de manuel pour plus de détails.
3. Redémarrez maintenant le serveur krb5-admin pour que la nouvelle liste de contrôle d'accès prenne effet :
sudo systemctl redémarrer krb5-admin-server.service
4. Le nouvel utilisateur principal peut être testé à l'aide de l'utilitaire kinit :
kinit steve/administrateur
Mot de passe de steve/admin@EXAMPLE.COM :
Après avoir entré le mot de passe, utilisez l'utilitaire klist pour afficher les informations sur le Ticket Granting Ticket (TGT) :
cliste
Cache des informations d'identification : FILE :/tmp/krb5cc_1000 Principal : steve/admin@EXAMPLE.COM
Émis expire le principal
13 juillet 17:53:34 14 juillet 03:53:34 krbtgt/EXAMPLE.COM@EXAMPLE.COM
Où le nom du fichier cache krb5cc_1000 est composé du préfixe krb5cc_ et l'identifiant de l'utilisateur (uid), qui dans ce cas est 1000. Vous devrez peut-être ajouter une entrée dans le / Etc / hosts pour le KDC afin que le client puisse trouver le KDC. Par exemple:
192.168.0.1 kdc01.exemple.com kdc01
Remplacement 192.168.0.1 avec l'adresse IP de votre KDC. Cela se produit généralement lorsque vous avez un domaine Kerberos englobant différents réseaux séparés par des routeurs.
5. Le meilleur moyen de permettre aux clients de déterminer automatiquement le KDC pour le domaine consiste à utiliser les enregistrements DNS SRV. Ajoutez ce qui suit à /etc/named/db.example.com:
_kerberos._udp.EXEMPLE.COM. | IN | SRV | 1 | 0 | 88 | kdc01.exemple.com. |
_kerberos._tcp.EXEMPLE.COM. | IN | SRV | 1 | 0 | 88 | kdc01.exemple.com. |
_kerberos._udp.EXEMPLE.COM. | IN | SRV | 10 | 0 | 88 | kdc02.exemple.com. |
_kerberos._tcp.EXEMPLE.COM. | IN | SRV | 10 | 0 | 88 | kdc02.exemple.com. |
_kerberos-adm._tcp.EXEMPLE.COM. | IN | SRV | 1 | 0 | 749 | kdc01.exemple.com. |
_kpasswd._udp.EXEMPLE.COM. | IN | SRV | 1 | 0 | 464 | kdc01.exemple.com. |
remplacer EXEMPLE.COM, kdc01 et kdc02 avec votre nom de domaine, le KDC principal et le KDC secondaire.
Voir Chapitre 8, Service de noms de domaine (DNS) [p. 166] pour des instructions détaillées sur la configuration du DNS. Votre nouveau royaume Kerberos est maintenant prêt à authentifier les clients.