Dokumentasi<Sebelumnya | Konten | Selanjutnya>
3.2.2. Konfigurasi
Pertanyaan yang diajukan selama instalasi digunakan untuk mengkonfigurasi /etc/krb5.conf mengajukan. Jika Anda perlu menyesuaikan pengaturan Pusat Distribusi Kunci (KDC) cukup edit file dan mulai ulang daemon krb5-kdc. Jika Anda perlu mengkonfigurasi ulang Kerberos dari awal, mungkin untuk mengubah nama ranah, Anda dapat melakukannya dengan mengetik
sudo dpkg-konfigurasi ulang krb5-kdc
1. Setelah KDC berjalan dengan benar, pengguna admin -- the kepala admin -- dibutuhkan. Disarankan untuk menggunakan nama pengguna yang berbeda dari nama pengguna Anda sehari-hari. Menggunakan utilitas kaadmin.local di terminal prompt, masukkan:
sudo kaadmin.local
Mengautentikasi sebagai root utama/[email dilindungi] dengan kata sandi. kaadmin.lokal: addprinc steve/admin
PERINGATAN: tidak ada kebijakan yang ditentukan untuk steve/[email dilindungi]; default tidak ada kebijakan Masukkan kata sandi untuk kepala sekolah "steve/[email dilindungi]":
Masukkan kembali kata sandi untuk kepala sekolah "steve/[email dilindungi]": Kepala Sekolah" Steve/[email dilindungi]" dibuat.
kaadmin.local: berhenti
Dalam contoh di atas steve adalah Utama, / admin adalah Contoh, dan @CONTOH.COM menandakan ranah. NS "setiap hari" Kepala Sekolah, alias the prinsipal pengguna, akan menjadi [email dilindungi], dan seharusnya hanya memiliki hak pengguna biasa.
menggantikan CONTOH.COM dan steve dengan nama pengguna Realm dan admin Anda.
2. Selanjutnya, pengguna admin baru harus memiliki izin Access Control List (ACL) yang sesuai. Izin dikonfigurasi di /etc/krb5kdc/kadm5.acl File:
Steve/[email dilindungi] *
Entri ini memberikan steve/admin kemampuan untuk melakukan operasi apa pun pada semua pelaku di alam. Anda dapat mengonfigurasi prinsipal dengan hak istimewa yang lebih ketat, yang nyaman jika Anda memerlukan prinsipal admin yang dapat digunakan staf junior di klien Kerberos. Silakan lihat kadm5.acl halaman manual untuk detailnya.
3. Sekarang restart krb5-admin-server agar ACL baru mulai terpengaruh:
sudo systemctl restart krb5-admin-server.layanan
4. Prinsip pengguna baru dapat diuji menggunakan utilitas kinit:
kinit steve/admin
Steve/[email dilindungi]Kata Sandi:
Setelah memasukkan kata sandi, gunakan utilitas klist untuk melihat informasi tentang Tiket Pemberian Tiket (TGT):
daftar
Cache kredensial: FILE:/tmp/krb5cc_1000 Kepala Sekolah: steve/[email dilindungi]
Dikeluarkan Kadaluwarsa Prinsipal
13 Juli 17:53:34 14 Juli 03:53:34 krbtgt/[email dilindungi]
Di mana nama file cache krb5cc_1000 terdiri dari awalan krb5cc_ dan id pengguna (uid), yang dalam hal ini adalah 1000. Anda mungkin perlu menambahkan entri ke dalam / Etc / hosts untuk KDC sehingga klien dapat menemukan KDC. Sebagai contoh:
192.168.0.1 kdc01.contoh.com kdc01
mengganti 192.168.0.1 dengan alamat IP KDC Anda. Ini biasanya terjadi ketika Anda memiliki ranah Kerberos yang mencakup jaringan berbeda yang dipisahkan oleh router.
5. Cara terbaik untuk mengizinkan klien menentukan KDC untuk Realm secara otomatis adalah menggunakan catatan DNS SRV. Tambahkan yang berikut ini ke /etc/named/db.contoh.com:
_kerberos._udp.EXAMPLE.COM. | IN | SRV | 1 | 0 | 88 | kdc01.contoh.com. |
_kerberos._tcp.EXAMPLE.COM. | IN | SRV | 1 | 0 | 88 | kdc01.contoh.com. |
_kerberos._udp.EXAMPLE.COM. | IN | SRV | 10 | 0 | 88 | kdc02.contoh.com. |
_kerberos._tcp.EXAMPLE.COM. | IN | SRV | 10 | 0 | 88 | kdc02.contoh.com. |
_kerberos-adm._tcp.EXAMPLE.COM. | IN | SRV | 1 | 0 | 749 | kdc01.contoh.com. |
_kpasswd._udp.EXAMPLE.COM. | IN | SRV | 1 | 0 | 464 | kdc01.contoh.com. |
menggantikan CONTOH.COM, kdc01, dan kdc02 dengan nama domain Anda, KDC primer, dan KDC sekunder.
Lihat Bab 8, Layanan Nama Domain (DNS) [hal. 166] untuk petunjuk rinci tentang pengaturan DNS. Kerberos Realm baru Anda sekarang siap untuk mengautentikasi klien.