תיעוד3.2.2. תצורה
השאלות שנשאלו במהלך ההתקנה משמשות להגדרת ה /etc/krb5.conf קוֹבֶץ. אם אתה צריך לשנות את הגדרות מרכז הפצת מפתחות (KDC) פשוט ערוך את הקובץ והפעל מחדש את הדמון krb5-kdc. אם אתה צריך להגדיר מחדש את Kerberos מאפס, אולי כדי לשנות את שם הממלכה, תוכל לעשות זאת על ידי הקלדה
sudo dpkg-configure krb5-kdc
1. ברגע שה-KDC פועל כהלכה, משתמש מנהל -- ה מנהל מנהל -- נחוץ. מומלץ להשתמש בשם משתמש שונה משם המשתמש היומיומי שלך. באמצעות כלי השירות kadmin.local בהנחיית מסוף הזן:
sudo kadmin.local
אימות כשורש ראשי/[מוגן בדוא"ל] עם סיסמה. kadmin.local: addprinc steve/admin
אזהרה: לא צוינה מדיניות עבור סטיב/[מוגן בדוא"ל]; ברירת מחדל ללא מדיניות הזן סיסמה עבור המנהל "סטיב/[מוגן בדוא"ל]":
הזן מחדש את הסיסמה עבור המנהל "סטיב/[מוגן בדוא"ל]": מנהל "סטיב/[מוגן בדוא"ל]"נוצר.
kadmin.local: להפסיק
בדוגמה שלעיל סטיב האם ה מנהל, / admin הוא מופע, ו @EXAMPLE.COM מסמל את התחום. ה "כל יום" מנהלת, הלא היא מנהל משתמש, יהיה [מוגן בדוא"ל], וצריך להיות בעל זכויות משתמש רגילות בלבד.
חלף EXAMPLE.COM ו סטיב עם שם המשתמש של התחום והמנהל שלך.
2. לאחר מכן, למשתמש המנהל החדש צריך להיות הרשאות רשימת בקרת גישה (ACL) המתאימות. ההרשאות מוגדרות ב- /etc/krb5kdc/kadm5.acl קובץ:
סטיב/[מוגן בדוא"ל] *
כניסה זו מעניקה סטיב/אדמין היכולת לבצע כל פעולה בכל המנהלים בתחום. אתה יכול להגדיר מנהלים עם הרשאות מגבילות יותר, וזה נוח אם אתה צריך מנהל מנהל שצוות זוטר יכול להשתמש בו בלקוחות Kerberos. אנא ראה את kadm5.acl דף איש לפרטים.
3. כעת הפעל מחדש את krb5-admin-server כדי שה-ACL החדש ייכנס לתוקף:
sudo systemctl הפעלה מחדש של krb5-admin-server.service
4. ניתן לבדוק את מנהל המשתמש החדש באמצעות כלי השירות kinit:
kinit steve/admin
סטיב/[מוגן בדוא"ל]הסיסמה של:
לאחר הזנת הסיסמה, השתמש בכלי השירות klist כדי להציג מידע אודות כרטיס הענקת כרטיסים (TGT):
קליסט
מטמון אישורים: FILE:/tmp/krb5cc_1000 מנהל: steve/[מוגן בדוא"ל]
הונפק יפוג מנהל
13 ביולי 17:53:34 14 ביולי 03:53:34 krbtgt/[מוגן בדוא"ל]
איפה שם קובץ המטמון krb5cc_1000 מורכב מהקידומת krb5cc_ ומזהה המשתמש (uid), שבמקרה זה הוא 1000. ייתכן שיהיה עליך להוסיף ערך לתוך / Etc / hosts עבור ה-KDC כדי שהלקוח יוכל למצוא את ה-KDC. לדוגמה:
192.168.0.1 kdc01.example.com kdc01
החלפתי 192.168.0.1 עם כתובת ה-IP של ה-KDC שלך. זה קורה בדרך כלל כאשר יש לך ממלכת Kerberos המקיפה רשתות שונות המופרדות על ידי נתבים.
5. הדרך הטובה ביותר לאפשר ללקוחות לקבוע אוטומטית את ה-KDC עבור התחום היא שימוש ברשומות DNS SRV. הוסף את הדברים הבאים ל /etc/named/db.example.com:
_kerberos._udp.EXAMPLE.COM. | IN | SRV | 1 | 0 | 88 | kdc01.example.com. |
_kerberos._tcp.EXAMPLE.COM. | IN | SRV | 1 | 0 | 88 | kdc01.example.com. |
_kerberos._udp.EXAMPLE.COM. | IN | SRV | 10 | 0 | 88 | kdc02.example.com. |
_kerberos._tcp.EXAMPLE.COM. | IN | SRV | 10 | 0 | 88 | kdc02.example.com. |
_kerberos-adm._tcp.EXAMPLE.COM. | IN | SRV | 1 | 0 | 749 | kdc01.example.com. |
_kpasswd._udp.EXAMPLE.COM. | IN | SRV | 1 | 0 | 464 | kdc01.example.com. |
חלף EXAMPLE.COM, kdc01, ו kdc02 עם שם הדומיין שלך, KDC הראשי ו-KDC משני.
ראה פרק 8, שירות שמות מתחם (DNS) [עמ'. 166] להנחיות מפורטות על הגדרת DNS. ממלכת Kerberos החדשה שלך מוכנה כעת לאימות לקוחות.