Kerberos NFS и всичко-всичко-всичко, бърлогата на Grundik

Kerberos: NFS и всички-всички-всички

Има няколко реализации на Cerberus, както отворени, така и затворени. Те са съвместими помежду си, но се различават по конфигурация (от страна на сървъра, за клиентите всичко по същество е същото и автоматично). Тази статия предполага изпълнение на MIT. В него KDC работи както в IPv4, така и в IPv6, а KADMIN само в IPv4.

Инсталиране на сървър Kerberos

В бъдеще ще планирам инсталацията за базирани на debian дистрибуции на Linux, но не трябва да има големи разлики в други системи. И така, първо трябва да инсталирате необходимите програми: те са в панелите krb5-admin-server и krb5-kdc. Krb5-клиентите също са полезни. По време на инсталацията можете да активирате генерирането на първоначални настройки. В резултат на това настройките ще бъдат генерирани приблизително както следва:

/etc/krb5kdc/kdc.conf:

И в /etc/krb5.conf (минус стандартната глупост):

Създаваме домейна си с командата krb5_newrealm. Когато бъдете помолени за парола, е важно да й дадете наистина силна парола. Почти никога повече няма да е необходимо, но е по-добре да го запишете някъде. След създаването на домейна услугите krb5-kdc и krb5-admin-server трябва да стартират нормално.

Тестваме производителността и в същото време добавяме администраторски потребител, използващ програмата kadmin.local (по-нататък в примерите входният текст е подчертан с получер шрифт, останалото е изходът на програмата):

Така че, ако всичко е успешно, можете да влезете в домейна на kerberos от този потребител. Главният билет се получава и актуализира от програмата кинит, можете да видите състоянието на получените билети от програмата klist. И двете програми не изискват никакви опции и автоматично отгатват всичко, което е необходимо.

Възможна грешка "kadmin: Липсващи параметри в krb5.conf, необходими за клиент на kadmin при инициализиране на интерфейса на kadmin"Най - вероятно означава, че в krb5.conf admin_server не е регистриран или името на регистрирания сървър не може да бъде разрешено чрез IPv4.

За да опростите конфигурацията на клиента, можете да регистрирате настройките на домейна на kerberos в DNS. За да направите това, създайте тези записи в зона, която има същото име като домейна на kerberos:

Това завършва настройката от страна на сървъра. Връзки за по-нататъшно проучване по въпроса за Цербер:

Инсталиране и конфигуриране на клиенти на Kerberos

Основна работа и основни принципи

Следните програми ще бъдат полезни за работа и конфигуриране:

  • кинит - получава главен билет от сървъра. Ако не посочите параметри, той ще получи билет за текущия потребител.
  • klist - показва списък на получените билети. С параметъра "-k" може да покаже съдържанието на ключовия файл.
  • kpasswd - позволява ви да промените паролата на акаунта на kerberos.
  • кадмин - програма за администриране на базата данни с акаунти, изисква администраторски права KADMIN (регистриран в /etc/krb5krc/kadm5.acl).

За удобна работа мога да препоръчам програмата kredentials в едноименния пакет - тя ви позволява бързо, лесно и чрез GUI да получавате и актуализирате билети. Ако тя се кълне в "не може да стартира aklog", което се случва, когато AFS не се използва, тогава създайте в / usr/local/bin файл аклог с права за изпълнение и съдържание:

И ако/когато използвате AFS, тогава този файл ще трябва да бъде изтрит.

Акаунтите са два вида - акаунти за услуги и акаунти на потребители. Потребителските записи са за (изненада) потребители и имат парола. Сервизните за автоматична работа, нямат парола, се състоят основно от ключове за криптиране. и за използването им от услугите се поставят в специални ключови файлове, клавишни таблици.

Акаунтите за услуги се създават по същия начин като потребителските акаунти, но с параметъра "-randkey":

За разлика от потребителските идентификационни данни, които се съхраняват изключително в KDC, идентификационните данни за услугата трябва да бъдат копирани в машината, която предоставя услугата. За това има следните подходи: