Antes de comenzar a configurar Kerberos en su sistema , usted debe saber el nombre de su Kerberos, el nombre de host del maestro y de los Centros de distribución de claves ( KDC esclavos ) y cómo se va a asignar los nombres de host en el reino Kerberos. Usted tendrá que determinar los puertos que los KDC y los servicios de acceso a bases de datos ( kadmin ) van a utilizar. También tendrá que saber con qué frecuencia los KDC maestro y esclavo llenarán la base de datos .
Utilizará la información anterior para configurar el KDC maestro. Los archivos de configuración de KDC maestro se encuentran en "/etc/krb5.conf " y "/usr/local/var/krb5kdc/kdc.conf " y se pueden editar en cualquier editor de texto. El archivo " krb5.conf " contiene información sobre la localización de los KDC y servidores de administración , así como el nombre de la información de asignación de host. El archivo " kdc.conf " contiene la información por defecto se utiliza cuando la emisión de vales de Kerberos . Abra el directorio "/etc/krb5.conf " y modificar los "login ", " reinos " y "valores " domain_realm así como que son correctos para su sistema. Cambiar el " /usr/local/var/krb5kdc/kdc.conf " para que refleje la información correcta para su servidor KDC .
El siguiente paso es crear la base de datos . Abra una terminal y escriba el comando " kdb5_util . " Se le solicitará que proporcione una clave maestra . Esto debe ser una cadena de letras, números y caracteres especiales similares a una contraseña . Esta clave se almacena en un archivo oculto en el disco duro del KDC . Si prefiere que se le solicite la clave cada vez que se inicia Kerberos , puede optar por no crear el archivo de contraseñas .
Por último, se creará la lista de control de acceso ( ACL ) y agregue al menos un administrador a la misma. El LCA es un archivo de texto creado por el usuario que se llama " /usr/local/var/krb5kdc/kadm5.acl . " Este archivo debe tener el administrador aparece en la forma: permisos Kerberos_principal [ target_principal ] [ las restricciones ] Una vez creada la lista ACL , ejecute el comando " kadmin.local " y añadir a cada director a la base de datos. Inicie los daemons Kerberos con el comando "/usr/local/sbin/krb5kdc , . /Usr /local /sbin /kadmin "
Creación de la tabla de claves
archivo
archivo de tabla de claves se utiliza para descifrar los vales Kerberos y determinar si el usuario debe tener acceso a la base de datos . Para crear este archivo, escriba el comando " kadmin.local " de nuevo. Esto le dará un aviso donde se escriba el comando : " ktadd -k /usr/local/var/krb5kdc/kadm5.keytab kadmin /admin kadmin /changepw " para crear el archivo de tabla de claves . Vuelva a colocar la sección " /usr/local/var/krb5kdc/kadm5.keytab " con la ubicación de tabla de claves que se especificó en el archivo " /usr/local/var/krb5kdc/kdc.conf " . Tipo "quit " para salir de la utilidad " kadmin " .
Configuración del esclavo KDC
Para crear los KDC esclavos , se le expedirá el " kadmin . locales "de comandos por tercera vez. En el indicador, ejecute el comando " addprinc - randkey host /example.com " por el maestro y cada esclavo . Utilice el nombre de host de cada KDC en lugar de " example.conf . " Esto creará las claves de host para cada uno de los KDC . A continuación, extraer las claves en cada uno de los KDC esclavos al iniciar la utilidad " kadmin " en cada uno de los esclavos y la emisión de la orden de " ktadd host /MasterKDC.com . " Reemplazar " MasterKDC.com " con el nombre de host del KDC maestro .
Para la base de datos que se propaga desde el KDC maestro para los KDC esclavos que tendrá que crear un archivo llamado " /usr /local /var /krb5kdc/kpropd.acl " . Este archivo debe contener los principios de cada uno de los KDC en forma "host /example.com ". . Cada director debe ser colocado en su propia línea
continuación, editar el archivo " /etc /inetd.conf " en cada uno de los KDC y añadir las siguientes líneas: krb5_prop stream tcp nowait root /usr /local /sbin /kpropd kpropdeklogin stream tcp nowait root /usr /local /sbin /klogind klogind -k -c -e
Editar el archivo "/etc /services " en cada uno de los KDC y añadir las siguientes líneas : kerberos 88/udp kdc # la autenticación Kerberos ( udp ) 88/tcp kerberos KDC # la autenticación Kerberos ( tcp) krb5_prop 754/tcp # Kerberos esclavo propagationkerberos -adm 749/tcp # Kerberos 5 admin /changepw ( tcp) kerberos -adm 749/udp # Kerberos 5 admin /changepw ( udp ) eklogin 2105/tcp # Kerberos cifrado rlogin
reproducción de la base de datos
reproducción de la base de datos se realiza desde el KDC maestro . Emita el comando "/usr/local/sbin/kdb5_util dump /usr/local/var/krb5kdc/slave_datatrans " crear un volcado de la base de datos. A continuación, ejecute el comando " /usr /local /sbin /kprop -f /usr/local/var/krb5kdc/slave_datatrans Slave - 1.example.com " para propagar manualmente la base de datos en cada uno de los esclavos.
< P > Estas medidas tendrán que ser completado en una base regular. La forma más fácil de hacer esto es crear guión y ejecutar el script como un trabajo cron. La secuencia de comandos debe ser similar a : # /bin /sh
kdclist = "esclavo - esclavo - 1.example.com 2.example.com "
/usr/local/sbin/kdb5_util " dump = > /usr/local/var/krb5kdc/slave_datatrans "
para kdc en $ kdclistdo /usr /local /sbin /kprop -f /usr/local/var/krb5kdc/slave_datatrans $ kdcdone
por supuesto , cambiar los nombres de host para reflejar los valores de su sistema.
Crear archivos Stash en los esclavos
el último paso para la creación de Kerberos es crear archivos de alijo en los KDC esclavos . En cada uno de los KDC esclavos el comando " kdb5_util escondite " y proporcionar la clave maestra cuando se le solicite . Una vez que se ha completado , se puede iniciar el demonio " krb5kdc " en cada esclavo con el comando "/usr/local/sbin/krb5kdc /. "