Tài liệu<Trước | Nội dung | Tiếp theo>
3.2.2. Cấu hình
Các câu hỏi được hỏi trong quá trình cài đặt được sử dụng để cấu hình /etc/krb5.conf tập tin. Nếu bạn cần điều chỉnh cài đặt Trung tâm phân phối khóa (KDC), chỉ cần chỉnh sửa tệp và khởi động lại daemon krb5-kdc. Nếu bạn cần định cấu hình lại Kerberos từ đầu, có lẽ để thay đổi tên khu vực, bạn có thể làm như vậy bằng cách nhập
sudo dpkg-cấu hình lại krb5-kdc
1. Khi KDC đang hoạt động bình thường, người dùng quản trị - quản trị viên chính -- là cần thiết. Bạn nên sử dụng tên người dùng khác với tên người dùng hàng ngày của bạn. Sử dụng tiện ích kadmin.local trong lời nhắc đầu cuối, hãy nhập:
sudo kadmin.local
Xác thực là gốc chính/[email được bảo vệ] với mật khẩu. kadmin.local: addprinc steve / admin
CẢNH BÁO: không có chính sách nào được chỉ định cho steve/[email được bảo vệ]; mặc định không có chính sách Nhập mật khẩu cho hiệu trưởng "steve/[email được bảo vệ]":
Nhập lại mật khẩu cho hiệu trưởng "steve/[email được bảo vệ]": Hiệu trưởng "steve/[email được bảo vệ]" tạo.
kadmin.local: bỏ thuốc lá
Trong ví dụ trên steve là Hiệu trưởng, / admin là một Sơ thẩmvà @ EXAMPLE.COM biểu thị cảnh giới. Các "Hằng ngày" Hiệu trưởng, hay còn gọi là người dùng chính, sẽ là [email được bảo vệ]và chỉ có quyền của người dùng thông thường.
Thay thế VÍ DỤ.COM và steve với Vương quốc của bạn và tên người dùng quản trị.
2. Tiếp theo, người dùng quản trị mới cần có quyền Danh sách kiểm soát truy cập (ACL) thích hợp. Các quyền được định cấu hình trong /etc/krb5kdc/kadm5.acl tập tin:
Steve/[email được bảo vệ] *
Mục nhập này cấp steve / admin khả năng thực hiện bất kỳ hoạt động nào đối với tất cả các nguyên tắc trong lĩnh vực này. Bạn có thể định cấu hình hiệu trưởng với các đặc quyền hạn chế hơn, điều này rất thuận tiện nếu bạn cần hiệu trưởng quản trị mà nhân viên cấp dưới có thể sử dụng trong ứng dụng khách Kerberos. Xin vui lòng xem kadm5.acl trang người đàn ông để biết chi tiết.
3. Bây giờ khởi động lại krb5-admin-server để ACL mới có ảnh hưởng:
sudo systemctl khởi động lại krb5-admin-server.service
4. Người dùng chính mới có thể được kiểm tra bằng cách sử dụng tiện ích kinit:
kinit steve / admin
Steve/[email được bảo vệ]Mật khẩu của:
Sau khi nhập mật khẩu, sử dụng tiện ích klist để xem thông tin về Phiếu xuất vé (TGT):
danh sách
Bộ đệm thông tin xác thực: FILE:/tmp/krb5cc_1000 Hiệu trưởng: steve/[email được bảo vệ]
Đã phát hành Hết hạn gốc
Ngày 13 tháng 17 53:34:14 Ngày 03 tháng 53 34:XNUMX:XNUMX krbtgt/[email được bảo vệ]
Tên tệp bộ đệm ẩn ở đâu krb5cc_1000 bao gồm tiền tố krb5cc_ và id người dùng (uid), trong trường hợp này là 1000. Bạn có thể cần thêm một mục vào / Etc / hosts cho KDC để khách hàng có thể tìm thấy KDC. Ví dụ:
192.168.0.1 kdc01.example.com kdc01
thay thế 192.168.0.1 với địa chỉ IP của KDC của bạn. Điều này thường xảy ra khi bạn có vùng Kerberos bao gồm các mạng khác nhau được phân tách bằng bộ định tuyến.
5. Cách tốt nhất để cho phép máy khách tự động xác định KDC cho Realm là sử dụng bản ghi DNS SRV. Thêm phần sau vào /etc/name/db.example.com:
_kerberos._udp.EXAMPLE.COM. | IN | SRV | 1 | 0 | 88 | kdc01.example.com. |
_kerberos._tcp.EXAMPLE.COM. | IN | SRV | 1 | 0 | 88 | kdc01.example.com. |
_kerberos._udp.EXAMPLE.COM. | IN | SRV | 10 | 0 | 88 | kdc02.example.com. |
_kerberos._tcp.EXAMPLE.COM. | IN | SRV | 10 | 0 | 88 | kdc02.example.com. |
_kerberos-adm._tcp.EXAMPLE.COM. | IN | SRV | 1 | 0 | 749 | kdc01.example.com. |
_kpasswd._udp.EXAMPLE.COM. | IN | SRV | 1 | 0 | 464 | kdc01.example.com. |
Thay thế VÍ DỤ.COM, kdc01và kdc02 với tên miền của bạn, KDC chính và KDC phụ.
Xem Chương 8, Dịch vụ tên miền (DNS) [tr. 166] để được hướng dẫn chi tiết về cách thiết lập DNS. Hiện tại, Vương quốc Kerberos mới của bạn đã sẵn sàng để xác thực khách hàng.
<Trước | Nội dung | Tiếp theo>