Documentazione<Precedenti | Contenuti | Succ.>
3.2.2. Configurazione
Le domande poste durante l'installazione vengono utilizzate per configurare il /etc/krb5.conf file. Se è necessario modificare le impostazioni del Centro distribuzione chiavi (KDC) è sufficiente modificare il file e riavviare il demone krb5-kdc. Se hai bisogno di riconfigurare Kerberos da zero, magari per cambiare il nome del regno, puoi farlo digitando
sudo dpkg-reconfigure krb5-kdc
1. Una volta che il KDC è in esecuzione correttamente, un utente amministratore -- il amministratore principale -- è necessario. Si consiglia di utilizzare un nome utente diverso dal nome utente di tutti i giorni. Utilizzando l'utilità kadmin.local in un prompt del terminale, immettere:
sudo kadmin.local
Autenticazione come root principale/[email protected] con password. kadmin.local: addprinc steve/admin
ATTENZIONE: nessuna politica specificata per steve/[email protected]; impostazione predefinita su nessuna politica Inserisci la password per il principale "steve/[email protected]":
Reinserisci la password per il preside "steve/[email protected]": Preside "steve/[email protected]" creato.
kadmin.local: smettere
Nell'esempio sopra steve Europe è Direttore, / admin offre Instancee @ESEMPIO.COM indica il regno. Il "ogni giorno" Principal, alias the principale utente, sarebbe [email protected]e dovrebbe avere solo diritti utente normali.
sostituire ESEMPIO.COM e steve con il tuo dominio e il nome utente amministratore.
2. Successivamente, il nuovo utente amministratore deve disporre delle autorizzazioni appropriate per l'elenco di controllo di accesso (ACL). I permessi sono configurati in /etc/krb5kdc/kadm5.acl file:
Steve/[email protected] *
Questa voce concede steve/amministratore la capacità di eseguire qualsiasi operazione su tutti i principali nel regno. È possibile configurare entità con privilegi più restrittivi, il che è utile se è necessaria un'entità amministratore che il personale junior può utilizzare nei client Kerberos. Si prega di vedere il kadm5.acl pagina man per i dettagli.
3. Ora riavvia il krb5-admin-server affinché il nuovo ACL abbia effetto:
sudo systemctl riavvia krb5-admin-server.service
4. La nuova entità utente può essere testata utilizzando l'utilità kinit:
kinit steve/admin
Steve/[email protected]Password di:
Dopo aver inserito la password, utilizza l'utilità klist per visualizzare le informazioni sul Ticket Granting Ticket (TGT):
clist
Cache credenziali: FILE:/tmp/krb5cc_1000 Principale: steve/[email protected]
Emesso Scade Principal
13 luglio 17:53:34 14 luglio 03:53:34 krbtgt/[email protected]
Dove il nome del file della cache krb5cc_1000 è composto dal prefisso krb5cc_ e l'id utente (uid), che in questo caso è 1000. Potrebbe essere necessario aggiungere una voce nel / Etc / hosts per il KDC in modo che il client possa trovare il KDC. Per esempio:
192.168.0.1 kdc01.esempio.com kdc01
Sostituzione 192.168.0.1 con l'indirizzo IP del tuo KDC. Questo di solito accade quando hai un realm Kerberos che comprende diverse reti separate da router.
5. Il modo migliore per consentire ai client di determinare automaticamente il KDC per il Realm è utilizzare i record DNS SRV. Aggiungi quanto segue a /etc/named/db.example.com:
_kerberos._udp.ESEMPIO.COM. | IN | SRV | 1 | 0 | 88 | kdc01.esempio.com. |
_kerberos._tcp.EXAMPLE.COM. | IN | SRV | 1 | 0 | 88 | kdc01.esempio.com. |
_kerberos._udp.ESEMPIO.COM. | IN | SRV | 10 | 0 | 88 | kdc02.esempio.com. |
_kerberos._tcp.EXAMPLE.COM. | IN | SRV | 10 | 0 | 88 | kdc02.esempio.com. |
_kerberos-adm._tcp.EXAMPLE.COM. | IN | SRV | 1 | 0 | 749 | kdc01.esempio.com. |
_kpasswd._udp.ESEMPIO.COM. | IN | SRV | 1 | 0 | 464 | kdc01.esempio.com. |
sostituire ESEMPIO.COM, kdc01e kdc02 con il tuo nome di dominio, KDC primario e KDC secondario.
Vedere il Capitolo 8, Domain Name Service (DNS) [p. 166] per istruzioni dettagliate sulla configurazione del DNS. Il tuo nuovo Realm Kerberos è ora pronto per autenticare i client.