dokumentasi<Sebelum | Contents [show] | Seterusnya>
3.2.2. Konfigurasi
Soalan yang ditanya semasa pemasangan digunakan untuk mengkonfigurasi /etc/krb5.conf fail. Jika anda perlu melaraskan tetapan Pusat Pengedaran Kunci (KDC) cuma edit fail dan mulakan semula daemon krb5-kdc. Jika anda perlu mengkonfigurasi semula Kerberos dari awal, mungkin untuk menukar nama alam, anda boleh melakukannya dengan menaip
sudo dpkg-configure semula krb5-kdc
1. Setelah KDC berjalan dengan betul, pengguna pentadbir -- yang pengetua admin -- diperlukan. Adalah disyorkan untuk menggunakan nama pengguna yang berbeza daripada nama pengguna harian anda. Menggunakan utiliti kadmin.local dalam gesaan terminal masukkan:
sudo kadmin.local
Mengesahkan sebagai punca utama/[e-mel dilindungi] dengan kata laluan. kadmin.local: addprinc steve/admin
AMARAN: tiada polisi dinyatakan untuk steve/[e-mel dilindungi]; lalai kepada tiada dasar Masukkan kata laluan untuk prinsipal "steve/[e-mel dilindungi]":
Masukkan semula kata laluan untuk pengetua "steve/[e-mel dilindungi]": Pengetua "steve/[e-mel dilindungi]"dicipta.
kadmin.local: berhenti
Dalam contoh di atas steve adalah Utama, / admin merupakan Contohnya, dan @EXAMPLE.COM menandakan alam. The "setiap hari" Pengetua, aka prinsipal pengguna, akan menjadi [e-mel dilindungi], dan seharusnya hanya mempunyai hak pengguna biasa.
Ganti EXAMPLE.COM and steve dengan nama pengguna Realm dan pentadbir anda.
2. Seterusnya, pengguna pentadbir baharu perlu mempunyai kebenaran Senarai Kawalan Akses (ACL) yang sesuai. Keizinan dikonfigurasikan dalam /etc/krb5kdc/kadm5.acl fail:
steve/[e-mel dilindungi] *
Entri ini memberi steve/admin keupayaan untuk melakukan sebarang operasi ke atas semua pengetua di alam. Anda boleh mengkonfigurasi pengetua dengan keistimewaan yang lebih ketat, yang mudah jika anda memerlukan pengetua pentadbir yang boleh digunakan oleh kakitangan junior dalam pelanggan Kerberos. Sila lihat kadm5.acl halaman manusia untuk butiran.
3. Sekarang mulakan semula krb5-admin-server untuk ACL baharu mengambil kesan:
sudo systemctl mulakan semula krb5-admin-server.service
4. Prinsipal pengguna baharu boleh diuji menggunakan utiliti kinit:
kinit steve/admin
steve/[e-mel dilindungi]Kata laluan:
Selepas memasukkan kata laluan, gunakan utiliti klist untuk melihat maklumat mengenai Tiket Pemberian Tiket (TGT):
clist
Cache bukti kelayakan: FAIL:/tmp/krb5cc_1000 Pengetua: steve/[e-mel dilindungi]
Dikeluarkan Tamat Tempoh Prinsipal
13 Jul 17:53:34 14 Jul 03:53:34 krbtgt/[e-mel dilindungi]
Di mana nama fail cache krb5cc_1000 terdiri daripada awalan krb5cc_ dan id pengguna (uid), yang dalam kes ini ialah 1000. Anda mungkin perlu menambah entri ke dalam / Etc / tuan rumah untuk KDC supaya pelanggan boleh mencari KDC. Sebagai contoh:
192.168.0.1 kdc01.example.com kdc01
menggantikan 192.168.0.1 dengan alamat IP KDC anda. Ini biasanya berlaku apabila anda mempunyai alam Kerberos yang merangkumi rangkaian berbeza yang dipisahkan oleh penghala.
5. Cara terbaik untuk membolehkan pelanggan menentukan KDC untuk Alam secara automatik ialah menggunakan rekod SRV DNS. Tambahkan yang berikut kepada /etc/named/db.example.com:
_kerberos._udp.EXAMPLE.COM. | IN | SRV | 1 | 0 | 88 | kdc01.example.com. |
_kerberos._tcp.EXAMPLE.COM. | IN | SRV | 1 | 0 | 88 | kdc01.example.com. |
_kerberos._udp.EXAMPLE.COM. | IN | SRV | 10 | 0 | 88 | kdc02.example.com. |
_kerberos._tcp.EXAMPLE.COM. | IN | SRV | 10 | 0 | 88 | kdc02.example.com. |
_kerberos-adm._tcp.EXAMPLE.COM. | IN | SRV | 1 | 0 | 749 | kdc01.example.com. |
_kpasswd._udp.EXAMPLE.COM. | IN | SRV | 1 | 0 | 464 | kdc01.example.com. |
Ganti EXAMPLE.COM, kdc01, dan kdc02 dengan nama domain anda, KDC primer dan KDC sekunder.
Lihat Bab 8, Perkhidmatan Nama Domain (DNS) [hlm. 166] untuk arahan terperinci tentang menyediakan DNS. Alam Kerberos baharu anda kini sedia untuk mengesahkan pelanggan.