เอกสาร<ก่อนหน้านี้ | Contents | ถัดไป>
3.4.2 องค์ประกอบ
ในการกำหนดค่าไคลเอ็นต์ในเทอร์มินัล ให้ป้อน:
sudo dpkg-กำหนดค่า krb5-config ใหม่
จากนั้น คุณจะได้รับแจ้งให้ป้อนชื่อของอาณาจักร Kerberos นอกจากนี้ หากคุณไม่ได้กำหนดค่า DNS ด้วย Kerberos เอส.อาร์.วี บันทึก เมนูจะพร้อมท์ให้คุณใส่ชื่อโฮสต์ของ Key Distribution Center (KDC) และเซิร์ฟเวอร์ Realm Administration
dpkg-reconfigure เพิ่มรายการไปที่ /etc/krb5.conf ไฟล์สำหรับอาณาจักรของคุณ คุณควรมีรายการที่คล้ายกับต่อไปนี้:
[libdefault]
default_realm = EXAMPLE.COM
...
[อาณาจักร]
ตัวอย่าง.COM = {
เคดีซี = 192.168.0.1
admin_server = 192.168.0.1
}
หากคุณตั้งค่า uid ของผู้ใช้ที่ตรวจสอบสิทธิ์เครือข่ายแต่ละรายให้เริ่มต้นที่ 5000 ตามที่แนะนำในหัวข้อ 3.2.1 "การติดตั้ง" [p. 147] จากนั้นคุณสามารถบอกให้แพมพยายามตรวจสอบสิทธิ์โดยใช้ผู้ใช้ Kerberos ที่มี uid > 5000 เท่านั้น:
# Kerberos ควรใช้กับผู้ใช้ ldap/kerberos เท่านั้น ไม่ใช่ผู้ใช้ในเครื่อง สำหรับฉันในรหัสผ่านทั่วไป ทำ
sudo sed -i -r \
-e 's/pam_krb5.so minimum_uid=1000/pam_krb5.so minimum_uid=5000/' \
/etc/pam.d/$i เสร็จแล้ว
สิ่งนี้จะหลีกเลี่ยงการถามรหัสผ่าน Kerberos (ไม่มีอยู่จริง) ของผู้ใช้ที่ตรวจสอบสิทธิ์ในเครื่องเมื่อเปลี่ยนรหัสผ่านโดยใช้ passwd.
คุณสามารถทดสอบการกำหนดค่าได้โดยขอตั๋วโดยใช้ยูทิลิตี้ kinit ตัวอย่างเช่น:
กินิต [ป้องกันอีเมล]
รหัสผ่านสำหรับ [ป้องกันอีเมล]:
เมื่อได้รับตั๋วแล้ว สามารถดูรายละเอียดได้โดยใช้ klist:
clist
แคชตั๋ว: FILE:/tmp/krb5cc_1000 เงินต้นเริ่มต้น: [ป้องกันอีเมล]
การเริ่มต้นที่ถูกต้อง หมดอายุ บริการหลัก
07/24/08 05:18:56 07/24/08 15:18:56 krbtgt/[ป้องกันอีเมล]
ต่ออายุได้ถึง 07/25/08 05:18:57
แคชตั๋ว Kerberos 4: /tmp/tkt1000 klist: คุณไม่มีตั๋วที่แคชไว้
ถัดไป ใช้ auth-client-config เพื่อกำหนดค่าโมดูล libpam-krb5 เพื่อขอตั๋วระหว่างการเข้าสู่ระบบ:
sudo auth-client-config -a -p kerberos_example
คุณควรได้รับตั๋วเมื่อตรวจสอบการเข้าสู่ระบบสำเร็จแล้ว