Kerberos brukes til å autentisere brukere over et usikret nettverk . For å gjøre dette , må serveren og klienten har en felles nøkkel som brukes til å kryptere og dekryptere passordene . Nøkkelen distribusjon er utført av en Master Key Distribution Center ( KDC ) . Redundans er bygget inn i systemet ved å sette opp en eller flere slave KDCs . Konfigurere Master

Før du begynner å sette opp Kerberos på systemet ditt , bør du vite navnet på Kerberos , vertsnavnet til master og slave Key Distribution Center ( KDC ) og hvordan du skal kartlegge dine vertsnavn i Kerberos riket . Du må bestemme portene som de KDCs og database tilgang ( kadmin ) tjenester vil bruke. Du må også vite hvor ofte master og slave KDCs vil fylle databasen.

Du vil bruke informasjonen ovenfor for å konfigurere master KDC . Master KDC konfigurasjonsfiler vil bli funnet på " /etc/krb5.conf " og " /usr/local/var/krb5kdc/kdc.conf " og kan redigeres i en tekst editor. Den " krb5.conf "-filen inneholder informasjon om hvor du finner KDCs og admin servere, samt vertsnavn kartlegging informasjon . Den " kdc.conf "-filen inneholder standard informasjon som brukes ved utstedelse av Kerberos- billetter. Åpne " /etc/krb5.conf " og redigerer "Logg inn ", " realms " og " domain_realm " verdier slik at de er riktige for systemet. Endre " /usr/local/var/krb5kdc/kdc.conf ", slik at det reflekterer den riktige informasjonen for din KDC -serveren.

Det neste trinnet er å opprette databasen . Åpne en terminal og skriv kommandoen " kdb5_util . " Du vil bli bedt om å gi en hovednøkkel . Dette bør være en kombinasjon av bokstaver , tall og spesialtegn ligner et passord . Denne nøkkelen vil bli lagret i en stash fil på KDC harddisk. Hvis du heller vil bli bedt om nøkkelen når Kerberos starter, kan du velge å ikke opprette stash filen .

Slutt, vil du opprette Access Control List ( ACL ) og legge til minst én administrator til det. Den ACL er en bruker opprettet tekstfil som heter " /usr/local/var/krb5kdc/kadm5.acl . " Denne filen skal ha administrator oppført i form : Kerberos_principal tillatelser [ target_principal ] [ restriksjoner ] Når ACL listen er opprettet , utstede kommandoen " kadmin.local " og legge til hver rektor til databasen. Start Kerberos nisser med kommandoen " /usr/local/sbin/krb5kdc ; . /Usr /local /sbin /kadmin "
Opprette nøkkeltabellfil

nøkkeltabellfilen brukes til å dekryptere Kerberos billetter og avgjøre om brukeren skal ha tilgang til databasen . For å skape denne filen, skriv kommandoen " kadmin.local " igjen. Dette vil gi deg en melding der du vil skrive inn kommandoen : " ktadd -k /usr/local/var/krb5kdc/kadm5.keytab kadmin /admin kadmin /changepw " for å lage nøkkeltabellfilen . Bytt avsnittet " /usr/local/var/krb5kdc/kadm5.keytab " med nøkkeltabellfil stedet som ble angitt i " /usr/local/var/krb5kdc/kdc.conf "-filen . Type " quit" for å avslutte " kadmin "-verktøyet .
Konfigurere Slave KDCs

å opprette slave KDCs , vil du gi " kadmin . local " -kommandoen for tredje gang. I meldingen utstede kommandoen " addprinc - randkey host /example.com " for Master og hver slave . Bruk vertsnavnet til hver KDC i stedet for " example.conf . " Dette vil skape vert taster for hver av de KDCs . Deretter trekke tastene på hver av de slave KDCs ved å starte " kadmin " verktøyet på hver av slavene og utfører kommandoen " ktadd vert /MasterKDC.com . " Erstatt " MasterKDC.com " med vertsnavnet master KDC .

For databasen skal spres fra master KDC til slave KDCs du må lage en fil som heter " /usr /local /var /krb5kdc/kpropd.acl . " Denne filen må inneholde prinsippene for hver av de KDCs i form "host /example.com . " . Hver rektor bør plasseres på en egen linje

Deretter redigerer du " /etc /inetd.conf " filen på hver av de KDCS og legge til følgende linjer : krb5_prop stream tcp nowait root /usr /local /sbin /kpropd kpropdeklogin stream tcp nowait root /usr /local /sbin /klogind klogind - k - c - e

Rediger " /etc /services "-filen på hver av de KDCs og legge til følgende linjer : Kerberos 88/udp KDC # Kerberos autentisering ( uDP ) Kerberos 88/tcp KDC # Kerberos autentisering ( tcp ) krb5_prop 754/tcp # Kerberos slave propagationkerberos - adm 749/tcp # Kerberos 5 admin /changepw ( tcp ) Kerberos - adm 749/udp # Kerberos 5 admin /changepw ( uDP ) eklogin 2105/tcp # Kerberos kryptert rlogin
spre database

Forplanter databasen gjøres fra Master KDC . Utstede kommandoen " /usr/local/sbin/kdb5_util dump /usr/local/var/krb5kdc/slave_datatrans " for å lage en dump av databasen . Deretter utstede kommandoen " /usr /local /sbin /kprop -f /usr/local/var/krb5kdc/slave_datatrans Slave - 1.example.com " for å manuelt forplante database på hver av slavene.
< P > Disse trinnene må være ferdig på en jevnlig basis . Den enkleste måten å gjøre dette på er å lage så script og kjøre skriptet som en cron jobb . Manuset skal se ut : # /bin /sh

kdclist = " slave - 1.example.com slave - 2.example.com "

/usr/local/sbin/kdb5_util " dump = > /usr/local/var/krb5kdc/slave_datatrans "

for KDC i $ kdclistdo /usr /local /sbin /kprop -f /usr/local/var/krb5kdc/slave_datatrans $ kdcdone

selvfølgelig endre vertsnavn å reflektere verdiene for systemet.
Lag Stash filer på Slaves

det siste trinnet for å sette opp Kerberos er å skape stash filer på slave KDCs . På hver av de slave KDCs utstede kommandoen " kdb5_util stash " og gi hovednøkkelen når du blir bedt . Når det er ferdig , kan du starte " krb5kdc " nissen på hver slave med kommandoen " /usr/local/sbin/krb5kdc /. "