Cấu hình từ Hướng dẫn Máy chủ Ubuntu của OnWorks

Bỏ để qua phần nội dung

3.4.2. Cấu hình

Để định cấu hình máy khách trong thiết bị đầu cuối, hãy nhập:

sudo dpkg-cấu hình lại krb5-config

Sau đó, bạn sẽ được nhắc nhập tên của Kerberos Realm. Ngoài ra, nếu bạn chưa cấu hình DNS với Kerberos SRV bản ghi, menu sẽ nhắc bạn nhập tên máy chủ của Trung tâm phân phối khóa (KDC) và máy chủ Quản trị Realm.

dpkg-reconfigure thêm các mục vào /etc/krb5.conf tập tin cho Vương quốc của bạn. Bạn nên có các mục tương tự như sau:

[libdefaults]

default_realm = EXAMPLE.COM

...

[cảnh giới]

VÍ DỤ.COM = {

kdc = 192.168.0.1

quản trị_server = 192.168.0.1

}

Nếu bạn đặt uid của từng người dùng được mạng xác thực của mình bắt đầu ở mức 5000, như được đề xuất trong Phần 3.2.1, “Cài đặt” [p. 147], khi đó bạn có thể yêu cầu pam chỉ cố gắng xác thực bằng cách sử dụng người dùng Kerberos có uid > 5000:

# Kerberos chỉ nên được áp dụng cho người dùng ldap/kerberos chứ không phải người dùng cục bộ. cho tôi trong common-auth common-session tài khoản chung mật khẩu chung; LÀM

sudo sed -i -r \

-e 's/pam_krb5.so Minimal_uid=1000/pam_krb5.so Minimal_uid=5000/' \

/etc/pam.d/$tôi đã xong

Điều này sẽ tránh bị yêu cầu nhập mật khẩu Kerberos (không tồn tại) của người dùng được xác thực cục bộ khi thay đổi mật khẩu bằng cách sử dụng passwd.

Bạn có thể kiểm tra cấu hình bằng cách yêu cầu một vé sử dụng tiện ích kinit. Ví dụ:

dệt kim [email được bảo vệ]

Mật khẩu cho [email được bảo vệ]:

Khi vé đã được cấp, bạn có thể xem chi tiết bằng cách sử dụng klist:

danh sách

Bộ đệm vé: FILE:/tmp/krb5cc_1000 Hiệu trưởng mặc định: [email được bảo vệ]

Bắt đầu hợp lệ Hết hạn dịch vụ chính

07/24/08 05:18:56 07/24/08 15:18:56 krbtgt/[email được bảo vệ]

gia hạn đến 07/25/08 05:18:57

Bộ nhớ đệm vé Kerberos 4: /tmp/tkt1000 klist: Bạn không có vé nào được lưu vào bộ nhớ đệm

Tiếp theo, sử dụng auth-client-config để định cấu hình mô-đun libpam-krb5 nhằm yêu cầu vé trong khi đăng nhập:

sudo auth-client-config -a -p kerberos_example