<Précédent | Table des matières | Suivant>
3.4.2. Configuration
Pour configurer le client dans un terminal entrez :
sudo dpkg-reconfigurer krb5-config
Vous serez alors invité à saisir le nom du royaume Kerberos. De plus, si vous n'avez pas configuré DNS avec Kerberos SRV enregistrements, le menu vous demandera le nom d'hôte du centre de distribution de clés (KDC) et du serveur d'administration de royaume.
Le dpkg-reconfigure ajoute des entrées au /etc/krb5.conf fichier pour votre royaume. Vous devriez avoir des entrées similaires à ce qui suit :
[libdefaults]
domaine_par défaut = EXEMPLE.COM
[royaumes]
EXEMPLE.COM = {
kcc = 192.168.0.1
serveur_admin = 192.168.0.1
}
Si vous définissez l'uid de chacun de vos utilisateurs authentifiés sur le réseau pour démarrer à 5000, comme suggéré dans Section 3.2.1, « Installation » [p. 147], vous pouvez alors dire à pam d'essayer de s'authentifier uniquement à l'aide des utilisateurs Kerberos avec uid > 5000 :
# Kerberos ne doit être appliqué qu'aux utilisateurs LDAP/kerberos, pas aux utilisateurs locaux. pour i dans common-auth session commune compte commun mot de passe commun ; faire
sudo sed -i -r \
-e 's/pam_krb5.so minimum_uid=1000/pam_krb5.so minimum_uid=5000/' \
/etc/pam.d/$j'ai fait
Cela évitera qu'on vous demande le mot de passe Kerberos (inexistant) d'un utilisateur authentifié localement lors de la modification de son mot de passe à l'aide de passwd.
Vous pouvez tester la configuration en demandant un ticket à l'aide de l'utilitaire kinit. Par exemple:
kinite [email protected]
Mot de passe pour [email protected]:
Lorsqu'un ticket a été accordé, les détails peuvent être consultés à l'aide de klist :
cliste
Cache de tickets : FILE:/tmp/krb5cc_1000 Principal par défaut : [email protected]
Début valide Expire le principal du service
07/24/08 05:18:56 07/24/08 15:18:56 krbtgt/[email protected]
renouveler jusqu'au 07/25/08 05:18:57
Cache de ticket Kerberos 4: /tmp/tkt1000 klist: Vous n'avez pas de ticket en cache
Ensuite, utilisez auth-client-config pour configurer le module libpam-krb5 afin de demander un ticket lors de la connexion :
sudo auth-client-config -a -p exemple_kerberos
Vous devriez maintenant recevoir un ticket une fois l'authentification de connexion réussie.