Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux Guide de reference - Configuration d'un serveur Kerberos 5

19.5. Configuration d'un serveur Kerberos 5

Lors de la configuration de Kerberos, installez tout d'abord le serveur. S'il est n�cessaire de configurer des serveurs esclaves, les informations d�taill�es relatives � la configuration de relations entre les serveurs ma�tres et esclaves sont pr�sent�es fournies dans le guide d'installation de Kerberos V5 (Kerberos 5 Installation Guide) qui se trouve dans le r�pertoire /usr/share/doc/krb5-server-<num�ro-version> (remplacez <version-number> par le num�ro de la version du paquetage krb5-server install�e sur votre syst�me).

Pour installer un serveur Kerberos, suivez les �tapes suivantes�:

  1. Avant d'installer Kerberos 5, assurez-vous que la synchronisation de l'horloge et que le DNS fonctionnent sur tous les ordinateurs clients et serveurs. Pr�tez une attention toute particuli�re � la synchronisation du temps entre le serveur Kerberos et ses diff�rents clients. Si le horloge du serveur et celle des client diff�rent de plus de cinq minutes (cette dur�e par d�faut est configurable dans Kerberos 5), les clients Kerberos ne pourront pas s'authentifier aupr�s du serveur. Cette synchronisation de l'horloge est n�cessaire pour emp�cher un agresseur d'utiliser un ancien ticket afin de se faire passer pour un utilisateur valide.

    Il est recommand� de configurer un r�seau client/serveur compatible avec NTP (Network Time Protocol) m�me si vous n'utilisez pas Kerberos. Red Hat Enterprise Linux inclut le paquetage ntp pour cette raison. Consultez /usr/share/doc/ntp-<version-number>/index.htm pour obtenir des informations d�taill�es sur la configuration des serveurs Network Time Protocol et rendez-vous � l'adresse suivante�: https://www.eecis.udel.edu/~ntp pour obtenir des informations suppl�mentaires sur NTP.

  2. Installez les paquetages krb5-libs, krb5-server et krb5-workstation sur la machine choisie pour l'ex�cution du KDC. Cette machine doit b�n�ficier d'une s�curit� tr�s �lev�e — dans la mesure du possible, elle ne devrait ex�cuter aucun service autre que le KDC.

    Si une interface utilisateur graphique (ou GUI) est n�cessaire pour l'administration de Kerberos, installez le paquetage gnome-kerberos. Celui-ci contient krb5, un outil graphique permettant la gestion des tickets.

  3. �ditez les fichiers de configuration /etc/krb5.conf et /var/kerberos/krb5kdc/kdc.conf afin qu'ils correspondent aux mappages nom de zone et domaine-�-zone. Une simple zone (aussi appel�e realm) peut �tre construite en rempla�ant des instances de EXAMPLE.COM et example.com par le nom de domaine correct — en vous assurant de bien respecter le format appropri� des noms contenant des lettres majuscules et de ceux avec des minuscules — et en rempla�ant le KDC kerberos.example.com par le nom de votre serveur Kerberos. Par convention, tous les noms de realm sont en lettres majuscules et tous les noms d'h�tes et de domaines DNS sont en lettres minuscules. Pour obtenir des informations plus d�taill�es sur les diff�rents formats de ces fichiers, consultez leurs pages de manuel respectives.

  4. Cr�ez la base de donn�es en utilisant l'utilitaire kdb5_util � partir de l'invite du shell�:

    /usr/kerberos/sbin/kdb5_util create -s 

    La commande create cr�e la base de donn�es qui stockera les cl�s pour votre realm Kerberos. L'option -s permet la cr�ation forc�e d'un fichier stash dans lequel la cl� du serveur ma�tre est conserv�e. En l'absence d'un fichier stash � partir duquel la cl� peut �tre lue, le serveur Korberos (krb5kdc) enverra une invite pour que l'utilisateur saisisse le mot de passe du serveur ma�tre (qui permet de recr�er la cl�) chaque fois qu'il est lanc�.

  5. �ditez le fichier /var/kerberos/krb5kdc/kadm5.acl. Ce fichier est utilis� par kadmind d'une part afin de d�terminer les �l�ments principaux devant avoir un acc�s administratif � la base de donn�es de Kerberos et d'autre part, afin de d�finir leur niveau d'acc�s. Une seule ligne suffit � la plupart des soci�t�s, comme dans l'exemple ci-dessous�:

    */[email protected]��*

    La plupart des utilisateurs seront repr�sent�s dans la base de donn�es par un seul principal (avec une instance NULL ou vide, tel que [email protected]). Avec cette configuration, les utilisateurs ayant un second principal avec une instance admin (par exemple, joe/[email protected]) peuvent exercer un pouvoir total sur la base de donn�es Kerberos du realm.

    Une fois que kadmind est lanc� sur le serveur, tout utilisateur peut acc�der � ses services en ex�cutant kadmin sur un client ou serveur quelconque du realm. Toutefois, seuls les utilisateurs sp�cifi�s dans le fichier kadm5.acl peuvent modifier le contenu de la base de donn�es, � l'exception du changement de leur propre mot de passe.

    NoteRemarque
     

    L'utilitaire kadmin communique avec le serveur kadmind sur le r�seau et utilise Kerberos pour effectuer l'authentification. Pour cette raison, il est n�cessaire que le premier principal existe avant d'effectuer une connexion au serveur sur le r�seau afin de l'administrer. Pour cr�er le premier principal, utilisez kadmin.local, une commande con�ue sp�cifiquement pour �tre utilis�e sur le m�me h�te que le KDC et qui ne n�cessite pas Kerberos pour l'authentification.

    Tapez la commande kadmin.local suivante sur terminal KDC afin de cr�er le premier �l�ment principal�:

    /usr/kerberos/sbin/kadmin.local -q "addprinc username/admin"
  6. Lancez Kerberos � l'aide des commandes suivantes�:

    /sbin/service krb5kdc start
    /sbin/service kadmin start
    /sbin/service krb524 start
  7. Ajoutez des principaux pour les utilisateurs � l'aide de la commande addprinc avec kadmin. Les commandes kadmin et kadmin.local sont des interfaces de ligne de commande vers le KDC. En tant que telles, de nombreuses commandes sont disponibles apr�s le lancement du programme kadmin. Reportez-vous � la page de manuel de kadmin pour obtenir de plus amples informations.

  8. V�rifiez que le KDC �met bien des tickets. Tout d'abord, ex�cutez kinit pour obtenir un ticket et stockez-le dans un fichier de cache de certificats d'identit�. Utilisez ensuite klist pour afficher la liste des certificats d'identit� pr�sents dans votre cache et utilisez kdestroy pour d�truire le cache et les certificats qu'il contient.

    NoteRemarque
     

    Par d�faut, kinit tente une authentification en utilisant le m�me nom d'utilisateur que celui servant � la connexion au syst�me (pas le serveur Kerberos). Si ce nom d'utilisateur ne correspond pas � un principal de la base de donn�es Korberos, kinit �met un message d'erreur. Dans ce cas, donnez � kinit le nom du bon principal en l'ins�rant comme argument sur la ligne de commande (kinit <principal>).

Une fois les �tapes ci-dessus accomplies, le serveur Kerberos devrait �tre op�rationnel.

 
 
  Published under the terms of the GNU General Public License Design by Interspire