<Trước | Nội dung | Tiếp theo>

3.2.1. Cài đặt

Đối với cuộc thảo luận này, chúng tôi sẽ tạo miền MIT Kerberos với các tính năng sau (chỉnh sửa chúng để phù hợp với nhu cầu của bạn):

• Vương quốc: VÍ DỤ.COM

• KDC sơ cấp: kdc01.example.com (192.168.0.1)

• KDC phụ: kdc02.example.com (192.168.0.2)

• Người dùng chính: steve

• Hiệu trưởng: steve / admin

Đó là mạnh mẽ khuyến nghị rằng người dùng được xác thực trong mạng của bạn có uid của họ ở một phạm vi khác (giả sử bắt đầu từ 5000) so với người dùng cục bộ của bạn.

Trước khi cài đặt máy chủ Kerberos, cần có máy chủ DNS được định cấu hình đúng cho miền của bạn. Vì Vương quốc Kerberos theo quy ước khớp với tên miền, phần này sử dụng miền EXAMPLE.COM được định cấu hình trong Phần 2.3, “Chính chính” [p. 169] của tài liệu DNS.

Ngoài ra, Kerberos là một giao thức nhạy cảm với thời gian. Vì vậy, nếu thời gian hệ thống cục bộ giữa máy khách và máy chủ chênh lệch hơn năm phút (theo mặc định), thì máy trạm sẽ không thể xác thực. Để khắc phục sự cố, tất cả các máy chủ phải được đồng bộ thời gian bằng cách sử dụng cùng một máy chủ Giao thức Thời gian Mạng (NTP). Để biết chi tiết về cách thiết lập NTP, hãy xem Phần 4, “Đồng bộ hóa thời gian” [tr. 55].

Bước đầu tiên trong việc tạo Kerberos Realm là cài đặt gói krb5-kdc và krb5-admin-server. Từ một thiết bị đầu cuối, hãy nhập:

sudo apt cài đặt krb5-kdc krb5-admin-server

Khi kết thúc quá trình cài đặt, bạn sẽ được yêu cầu cung cấp tên máy chủ cho máy chủ Kerberos và máy chủ Quản trị, có thể có hoặc không cùng một máy chủ, đối với lĩnh vực này.

Theo mặc định, cảnh giới được tạo từ tên miền của KDC.

Tiếp theo, tạo lĩnh vực mới với tiện ích kdb5_newrealm:

sudo krb5_newrealm

<Trước | Nội dung | Tiếp theo>