เอกสาร<ก่อนหน้านี้ | Contents | ถัดไป>
3.2.2 องค์ประกอบ
คำถามที่ถามระหว่างการติดตั้งใช้เพื่อกำหนดค่า /etc/krb5.conf ไฟล์. หากคุณต้องการปรับการตั้งค่า Key Distribution Center (KDC) ให้แก้ไขไฟล์และรีสตาร์ท krb5-kdc daemon หากคุณต้องการกำหนดค่า Kerberos ใหม่ตั้งแต่ต้น อาจต้องเปลี่ยนชื่ออาณาจักร คุณสามารถทำได้โดยพิมพ์
sudo dpkg-กำหนดค่าใหม่ krb5-kdc
1. เมื่อ KDC ทำงานอย่างถูกต้อง ผู้ใช้ที่เป็นผู้ดูแลระบบ -- the ผู้ดูแลระบบหลัก -- มันจำเป็น. ขอแนะนำให้ใช้ชื่อผู้ใช้ที่แตกต่างจากชื่อผู้ใช้ประจำวันของคุณ การใช้ยูทิลิตี้ kadmin.local ในพรอมต์เทอร์มินัลให้ป้อน:
sudo kadmin.local
กำลังพิสูจน์ตัวตนในฐานะ root หลัก/[ป้องกันอีเมล] ด้วยรหัสผ่าน kadmin.local: addprinc สตีฟ/ผู้ดูแลระบบ
คำเตือน: ไม่ได้ระบุนโยบายสำหรับ steve/[ป้องกันอีเมล]; ตั้งค่าเริ่มต้นเป็นไม่มีนโยบาย ใส่รหัสผ่านสำหรับตัวการ "steve/[ป้องกันอีเมล]":
ป้อนรหัสผ่านอีกครั้งสำหรับอาจารย์ใหญ่ "steve/[ป้องกันอีเมล]": อาจารย์ใหญ่ "สตีฟ/[ป้องกันอีเมล]" สร้าง.
kadmin.local: เลิก
ในตัวอย่างข้างต้น สตีฟ คือ หลัก, / ผู้ดูแลระบบ เป็น ตัวอย่างและ @EXAMPLE.COM หมายถึงอาณาจักร NS "ทุกวัน" อาจารย์ใหญ่ aka the ผู้ใช้หลัก, อยากจะเป็น [ป้องกันอีเมล]และควรมีสิทธิ์ผู้ใช้ตามปกติเท่านั้น
แทนที่ ตัวอย่าง.COM และ สตีฟ ด้วยชื่อผู้ใช้ Realm และผู้ดูแลระบบของคุณ
2. ถัดไป ผู้ดูแลระบบใหม่ต้องมีสิทธิ์การเข้าถึงรายการควบคุม (ACL) ที่เหมาะสม สิทธิ์ได้รับการกำหนดค่าใน /etc/krb5kdc/kadm5.acl ไฟล์:
สตีฟ/[ป้องกันอีเมล] *
รายการนี้ให้ทุน สตีฟ/ผู้ดูแลระบบ ความสามารถในการดำเนินการใดๆ กับหลักการทั้งหมดในขอบเขต คุณสามารถกำหนดค่าหลักการด้วยสิทธิ์ที่จำกัดมากขึ้น ซึ่งสะดวกถ้าคุณต้องการผู้ดูแลระบบที่เจ้าหน้าที่ระดับจูเนียร์สามารถใช้ในไคลเอ็นต์ Kerberos โปรดดูที่ kadm5.acl หน้าคนสำหรับรายละเอียด
3. ตอนนี้รีสตาร์ท krb5-admin-server เพื่อให้ ACL ใหม่มีผล:
sudo systemctl รีสตาร์ท krb5-admin-server.service
4. ผู้ใช้หลักใหม่สามารถทดสอบได้โดยใช้ยูทิลิตี้ kinit:
kinit สตีฟ/ผู้ดูแลระบบ
สตีฟ/[ป้องกันอีเมล]รหัสผ่าน:
หลังจากป้อนรหัสผ่านแล้ว ให้ใช้ยูทิลิตี้ klist เพื่อดูข้อมูลเกี่ยวกับ Ticket Granting Ticket (TGT):
clist
แคชข้อมูลรับรอง: FILE:/tmp/krb5cc_1000 อาจารย์ใหญ่: steve/[ป้องกันอีเมล]
ออก หมดอายุ เงินต้น
ก.ค. 13 17:53:34 ก.ค. 14 03:53:34 krbtgt/[ป้องกันอีเมล]
ที่ชื่อไฟล์แคช krb5cc_1000 ประกอบด้วยคำนำหน้า krb5cc_ และรหัสผู้ใช้ (uid) ซึ่งในกรณีนี้คือ 1000. คุณอาจต้องเพิ่มรายการลงใน / etc / hosts สำหรับ KDC เพื่อให้ลูกค้าสามารถค้นหา KDC ได้ ตัวอย่างเช่น:
192.168.0.1 kdc01.example.com kdc01
การแทนที่ 192.168.0.1 ด้วยที่อยู่ IP ของ KDC ของคุณ ซึ่งมักเกิดขึ้นเมื่อคุณมีขอบเขต Kerberos ที่ครอบคลุมเครือข่ายต่างๆ คั่นด้วยเราเตอร์
5. วิธีที่ดีที่สุดในการอนุญาตให้ไคลเอ็นต์กำหนด KDC สำหรับ Realm โดยอัตโนมัติคือการใช้ระเบียน DNS SRV เพิ่มต่อไปนี้เพื่อ /etc/named/db.example.com:
_kerberos._udp.EXAMPLE.COM | IN | เอส.อาร์.วี | 1 | 0 | 88 | kdc01.example.com |
_kerberos._tcp.EXAMPLE.COM | IN | เอส.อาร์.วี | 1 | 0 | 88 | kdc01.example.com |
_kerberos._udp.EXAMPLE.COM | IN | เอส.อาร์.วี | 10 | 0 | 88 | kdc02.example.com |
_kerberos._tcp.EXAMPLE.COM | IN | เอส.อาร์.วี | 10 | 0 | 88 | kdc02.example.com |
_kerberos-adm._tcp.EXAMPLE.COM | IN | เอส.อาร์.วี | 1 | 0 | 749 | kdc01.example.com |
_kpasswd._udp.EXAMPLE.COM | IN | เอส.อาร์.วี | 1 | 0 | 464 | kdc01.example.com |
แทนที่ ตัวอย่าง.COM, เคดีซี01และ เคดีซี02 ด้วยชื่อโดเมน KDC หลักและ KDC สำรองของคุณ
ดูบทที่ 8 บริการชื่อโดเมน (DNS) [p. 166] สำหรับคำแนะนำโดยละเอียดเกี่ยวกับการตั้งค่า DNS Kerberos Realm ใหม่ของคุณพร้อมที่จะตรวจสอบลูกค้าแล้ว