Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions

  




 

 

Linuxtopia - Red Hat Enterprise Linux Reference Guide (Italiano) - Configurazione di un server Kerberos 5

19.5. Configurazione di un server Kerberos 5

Nel configurare Kerberos, installate prima il server. Se avete necessit� di impostare dei server slave, troverete tutti i dettagli su come impostare i rapporti tra server master e server slave nella Kerberos 5 Installation Guide all'interno della directory /usr/share/doc/krb5-server-<numero-versione> (sostituire <numero-versione> con il numero della versione del pacchetto krb5-server installato sul sistema).

Per configurare un server Kerberos di base, eseguite quanto segue:

  1. Assicuratevi che la sincronizzazione dell'orologio e il DNS stiano funzionando su tutte le macchine del server e dei client, prima di configurare Kerberos 5. Prestate particolare attenzione alla sincronizzazione tra il server Kerberos e i suoi client. Se gli orologi del server e del client differiscono di oltre cinque minuti (in kerberos 5 � possibile impostare un intervallo di tempo predefinito), i client Kerberos non potranno essere autenticati. La sincronizzazione degli orologi � importante per impedire a eventuali aggressori di utilizzare un vecchio ticket di Kerberos per farsi passare come utente valido.

    Si consiglia di impostare una rete client/server compatibile con Network Time Protocol (NTP), anche se non si sta utilizzando Kerberos. Red Hat Enterprise Linux comprende il pacchetto ntp, per questo scopo. Consultate /usr/share/doc/ntp-<numero-versione>/index.htm per informazioni su come impostare i server Network Time Protocol e http://www.eecis.udel.edu/~ntp per informazioni aggiuntive su NTP.

  2. Installate i pacchetti krb5-libs, krb5-server e krb5-workstation sulla macchina su cui verr� eseguito il vostro KDC. Tale dispositivo deve essere molto protetto — se possibile, non eseguite altri servizi al di fuori di KDC.

    Se � necessario utilizzare una interfaccia grafica per gestire Kerberos, dovete installare anche il pacchetto gnome-kerberos. Essocontiene krb5, un tool grafico della GUI per la gestione di ticket.

  3. Modificate i file di configurazione /etc/krb5.conf e /var/kerberos/krb5kdc/kdc.conf per riflettere il nome del realm e le mappature del dominio al realm. Si pu� creare un realm semplice sostituendo l'istanza di EXAMPLE.COM e example.com con il vostro nome di dominio corretto — facendo attenzione al formato delle lettere, maiuscole e le minuscole,— cambiando il KDC da kerberos.example.com al nome del server Kerberos. Per convenzione, tutti i nomi di realm sono scritti in lettere maiuscole mentre tutti gli hostname DNS e i nomi di dominio sono in formato minuscolo. Per maggiori dettagli sul formato di questi file consultate le rispettive pagine man.

  4. Create il database tramite l'utility kdb5_util al prompt della shell:

    /usr/kerberos/sbin/kdb5_util create -s 

    Il comando create crea il database che sar� utilizzato per conservare le chiavi per il realm Kerberos. L'interruttore -s impone la creazione di un file stash che conserver� la chiave del server master. Se non esiste alcun file stash da cui leggere la chiave, a ogni avvio il server Kerberos (krb5kdc) richieder� all'utente la password del server master (utilizzabile per rigenerare la chiave).

  5. Modificate il file /var/kerberos/krb5kdc/kadm5.acl. Questo file � utilizzato da kadmind per stabilire quali principal hanno accesso amministrativo al database di Kerberos nonch� al loro livello di accesso. Generalmente, sar� sufficiente una sola riga:

    */admin@EXAMPLE.COM��*

    La maggior parte degli utenti saranno rappresentati nel database, da un solo principal (con una istanza NULL, o vuota, come per esempio joe@EXAMPLE.COM). Con questa configurazione gli utenti che hanno un secondo principal con un esempio di admin (per esempio, joe/admin@EXAMPLE.COM) avranno pieni poteri sul database del realm di Kerberos.

    Una volta che kadmind viene avviato sul server, qualunque utente � in grado di accedere ai suoi servizi eseguendo kadmin su qualunque client o server presente nel realm. Tuttavia, solo gli utenti elencati nel file kadm5.acl avranno il permesso di modificare a loro piacimento il database ma non potranno cambiare le proprie password.

    NotaNota Bene
     

    L'utility kadmin comunica con il server kadmind attraverso la rete e utilizza Kerberos per gestire l'autenticazione. Per questa ragione, il primo principal deve essere gi� esistente, prima di potersi connettere al server attraverso la rete per amministrarlo. Create il primo principal usando il comando kadmin.local, il quale � concepito proprio per essere utilizzato sullo stesso host di KDC e non si serve di Kerberos per l'autenticazione.

    Per creare il primo principal, digitate il seguente comando kadmin.local al terminale di KDC:

    /usr/kerberos/sbin/kadmin.local -q "addprinc username/admin"
  6. Avviate Kerberos mediante i comandi seguenti:

    /sbin/service krb5kdc start
    /sbin/service kadmin start
    /sbin/service krb524 start
  7. Aggiungete altri principal per gli utenti, usando il comando addprinc con kadmin. kadmin e kadmin.local sono interfacce della linea di comando per il KDC. Dopo aver lanciato il programma kadmin si rendono disponibili molti comandi. Per maggiori informazioni, consultate la pagina man di kadmin.

  8. Verificate che il vostro server stia emettendo i ticket. Anzitutto, eseguite kinit per ottenere un ticket e immagazzinatelo in un credential cache (o file dei ticket). Successivamente utilizzate klist per visualizzare l'elenco delle credenziali nella vostra cache e usate kdestroy per eliminare la cache e le credenziali in essa contenute.

    NotaNota Bene
     

    Per default, kinit cerca di effettuare l'autenticazione utilizzando lo stesso nome utente di login del sistema (non il server Kerberos). Se il nome utente non corrisponde al principal contenuto nel database di Kerberos, kinit emetter� un messaggio di errore. In tal caso, assegnate a kinit il nome del vostro principal come argomento per la linea di comando (kinit principal).

Una volta completate queste operazioni, il server Kerberos dovrebbe essere attivo e funzionante.

 
 
  Published under the terms of the GNU General Public License Design by Interspire