文件记录3.2.2。 组态
安装过程中提出的问题用于配置 /etc/krb5.conf 文件。 如果您需要调整密钥分发中心 (KDC) 设置,只需编辑文件并重新启动 krb5-kdc 守护程序。 如果您需要从头开始重新配置 Kerberos,也许是更改领域名称,您可以通过键入
须藤 dpkg-重新配置 krb5-kdc
1. 一旦 KDC 正常运行,管理员用户—— 管理员负责人 ——需要。 建议使用与日常用户名不同的用户名。 在终端提示中使用 kadmin.local 实用程序输入:
须藤 kadmin.local
身份验证为主根/[电子邮件保护] 有密码。 kadmin.local: addprinc 史蒂夫/管理员
警告:没有为 steve/ 指定策略[电子邮件保护];默认为无策略 输入主体“steve/ 的密码”[电子邮件保护]":
重新输入主体“steve/”的密码[电子邮件保护]”:校长“史蒂夫/[电子邮件保护]”创建。
kadmin.local: 退出
在上面的例子中 steve 是 校长, /管理员 是一个 例和 @EXAMPLE.COM 象征境界。 这 “每天” 校长,又名 用户主体, 将会 [电子邮件保护],并且应该只有普通用户权限。
更换 例子.COM 和 steve 使用您的领域和管理员用户名。
2. 接下来,新的管理员用户需要具有适当的访问控制列表 (ACL) 权限。 权限配置在 /etc/krb5kdc/kadm5.acl 文件:
史蒂夫/[电子邮件保护] *
此条目授予 史蒂夫/管理员 能够对领域中的所有主体执行任何操作。 您可以配置具有更多限制权限的主体,如果您需要初级员工可以在 Kerberos 客户端中使用的管理员主体,这会很方便。 请参阅 kadm5.acl 手册页了解详情。
3. 现在重启 krb5-admin-server 以使新 ACL 生效:
须藤 systemctl 重启 krb5-admin-server.service
4. 可以使用 kinit 实用程序测试新用户主体:
kinit史蒂夫/管理员
史蒂夫/[电子邮件保护]的密码:
输入密码后,使用 klist 实用程序查看有关 Ticket Granting Ticket (TGT) 的信息:
列表
凭证缓存:FILE:/tmp/krb5cc_1000 主体:steve/[电子邮件保护]
已发行到期本金
13月17日 53:34:14 03月53日 34:XNUMX:XNUMX krbtgt/[电子邮件保护]
缓存文件名所在 krb5cc_1000 由前缀组成 krb5cc_ 以及用户 ID (uid),在本例中为 1000. 您可能需要在 / etc / hosts文件 用于 KDC,以便客户端可以找到 KDC。 例如:
192.168.0.1 kdc01.example.com kdc01
更换 192.168.0.1 使用您的 KDC 的 IP 地址。 当您的 Kerberos 领域包含由路由器分隔的不同网络时,通常会发生这种情况。
5. 允许客户端自动确定 Realm 的 KDC 的最佳方法是使用 DNS SRV 记录。 将以下内容添加到 /etc/named/db.example.com:
_kerberos._udp.EXAMPLE.COM。 | IN | SRV | 1 | 0 | 88 | kdc01.example.com。 |
_kerberos._tcp.EXAMPLE.COM。 | IN | SRV | 1 | 0 | 88 | kdc01.example.com。 |
_kerberos._udp.EXAMPLE.COM。 | IN | SRV | 10 | 0 | 88 | kdc02.example.com。 |
_kerberos._tcp.EXAMPLE.COM。 | IN | SRV | 10 | 0 | 88 | kdc02.example.com。 |
_kerberos-adm._tcp.EXAMPLE.COM。 | IN | SRV | 1 | 0 | 749 | kdc01.example.com。 |
_kpasswd._udp.EXAMPLE.COM。 | IN | SRV | 1 | 0 | 464 | kdc01.example.com。 |
更换 例子.COM, 康达01和 康达02 使用您的域名、主 KDC 和辅助 KDC。
请参阅第 8 章,域名服务 (DNS) [p. 166]。 XNUMX] 有关设置 DNS 的详细说明。 您的新 Kerberos 领域现在已准备好对客户端进行身份验证。