3.4.2. configuratie
Om de client in een terminal te configureren, voert u het volgende in:
sudo dpkg-reconfigureer krb5-config
Vervolgens wordt u gevraagd de naam van Kerberos Realm in te voeren. Ook als u geen DNS hebt geconfigureerd met Kerberos SRV records, zal het menu u vragen om de hostnaam van de Key Distribution Center (KDC) en Realm Administration-server.
De dpkg-reconfigure voegt vermeldingen toe aan het /etc/krb5.conf bestand voor uw rijk. U zou vermeldingen moeten hebben die lijken op de volgende:
[libstandaarden]
default_realm = VOORBEELD.COM
...
[rijken]
VOORBEELD.COM = {
kdc = 192.168.0.1
beheerder_server = 192.168.0.1
}
Als u de uid van elk van uw netwerkgeauthenticeerde gebruikers instelt om te beginnen op 5000, zoals voorgesteld in Paragraaf 3.2.1, “Installatie” [p. 147], kun je pam dan vertellen om alleen te proberen te authenticeren met Kerberos-gebruikers met uid > 5000:
# Kerberos mag alleen worden toegepast op ldap/kerberos-gebruikers, niet op lokale gebruikers. voor i in common-auth common-session common-account common-password; Doen
sudo sed -i -r \
-e 's/pam_krb5.so minimum_uid=1000/pam_krb5.so minimum_uid=5000/' \
/etc/pam.d/$i klaar
Hiermee voorkomt u dat u wordt gevraagd naar het (niet-bestaande) Kerberos-wachtwoord van een lokaal geverifieerde gebruiker wanneer u het wachtwoord wijzigt met passwd.
U kunt de configuratie testen door een ticket aan te vragen met behulp van het kinit-hulpprogramma. Bijvoorbeeld:
Kinit [e-mail beveiligd]
Wachtwoord voor [e-mail beveiligd]:
Wanneer een ticket is toegekend, kunnen de details worden bekeken via klist:
klijst
Ticketcache: FILE:/tmp/krb5cc_1000 Standaardprincipal: [e-mail beveiligd]
Geldig vanaf Verloopt Service-principal
07/24/08 05:18:56 07/24/08 15:18:56 krbtgt/[e-mail beveiligd]
verlengen tot 07/25/08 05:18:57
Kerberos 4-ticketcache: /tmp/tkt1000 klist: Er zijn geen tickets in de cache opgeslagen
Gebruik vervolgens de auth-client-config om de libpam-krb5-module te configureren om een ticket aan te vragen tijdens het inloggen:
sudo auth-client-config -a -p kerberos_example
U zou nu een ticket moeten ontvangen na succesvolle aanmeldingsverificatie.