Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux Rerenzhandbuch- Konfigurieren eines Kerberos 5-Servers

19.5. Konfigurieren eines Kerberos 5-Servers

Installieren Sie zuerst den Server, wenn Sie Kerberos einrichten. Wenn Sie Slave-Server einrichten m�ssen, finden Sie Detailinformationen zum Festlegen der Beziehungen zwischen den Master- und Slave-Servern im Kerberos 5 Installation Guide im Verzeichnis /usr/share/doc/krb5-server- <Versionsnummer> (ersetzen Sie <version-number> mit der Versionsnummer des auf Ihrem System installierten krb5-server-Pakets).

F�hren Sie diese Schritte aus, um einen Kerberos-Server zu konfigurieren:

  1. Stellen Sie sicher, dass die Zeitsynchronisierung und DNS auf dem Server funktionieren, ehe Sie Kerberos 5 konfigurieren. Schenken Sie der Zeitsynchronisierung zwischen dem Kerberos-Server und seinen verschiedenen Clients besondere Aufmerksamkeit. �berschreitet die Zeitdifferenz zwischen der Server- und den Clientuhren f�nf Minuten (der Standardwert kann in Kerberos 5 konfiguriert werden), sind die Kerberos-Clients nicht in der Lage, sich am Server anzumelden. Diese Zeitsynchronisierung ist notwendig, um Angreifer davon abzuhalten, ein altes Kerberos-Ticket zu verwenden, um sich als g�ltiger Benutzer auszugeben.

    Selbst wenn Sie Kerberos nicht verwenden, sollten Sie ein NTP-kompatibles Client-Server-Netzwerk einrichten. Red Hat Enterprise Linux beeinhaltet hierf�r das ntp-Paket. Weitere Informationen finden Sie unter /usr/share/doc/ntp-<version-number>/index.htm zum Einrichten eines NTP Servers und https://www.eecis.udel.edu/~ntp f�r zus�tzliche Informationen zu NTP.

  2. Installieren Sie auf dem daf�r abgestellten Rechner, auf dem KDC ausgef�hrt wird, die Pakete krb5-libs, krb5-server und krb5-workstation. Dieser Rechner muss extrem sicher sein — wenn m�glich, sollten au�er KDC keine anderen Services ausgef�hrt werden.

    Wenn Sie Kerberos mit einem GUI-Utility verwalten m�chten, sollten Sie auch das gnome-kerberos-Paket installieren. Es enth�lt krb5, ein GUI-Tool zum Verwalten von Tickets.

  3. Bearbeiten Sie die Konfigurationsdateien /etc/krb5.conf und /var/kerberos/krb5kdc/kdc.conf, um den Realm-Namen sowie die Domain-zu-Realm-Mappings anzugeben. Ein einfacher Realm kann durch das Ersetzen von Instanzen von BEISPIEL.COM und Beispiel.com durch Ihren Domainnamen erstellt werden — beachten Sie die Gro�- und Kleinschreibung — sowie durch �ndern des KDC von Kerberos.Beispiel.com in den Namen des Kerberos-Servers. Hierbei gilt, dass alle Realm-Namen gro� und alle DNS-Hostnamen und Domainnamen klein geschrieben werden. Weitere Informationen zum Format dieser Dateien finden Sie auf den jeweiligen man-Seiten.

  4. Erstellen Sie die Datenbank mit Hilfe des Dienstprogramms kdb5_util von einem Shell-Prompt:

    /usr/kerberos/sbin/kdb5_util create -s 

    Der Befehl create erstellt die Datenbank, die zum Speichern der Schl�ssel f�r den Kerberos-Realm verwendet wird. Der Switch -s erzwingt die Erstellung einer stash-Datei, in der der Master-Server-Schl�ssel gespeichert wird. Ist keine stash-Datei vorhanden, von der der Schl�ssel gelesen werden kann, fordert der Kerberos-Server (krb5kdc) die Benutzer bei jedem Start zur Eingabe des Passwortes des Master-Servers auf (wodurch der Schl�ssel erneut generiert werden kann).

  5. Bearbeiten Sie die Datei /var/kerberos/krb5kdc/kadm5.acl. Diese Datei wird von kadmind zum Ermitteln der Principals mit Zugriff auf die Kerberos-Datenbank sowie deren Zugriffslevel verwendet. Die meisten Organisationen kommen mit einer einzigen Zeile aus:

    */[email protected]��*

    Die meisten Benutzer werden in der Datenbank durch einen einzelnen Principal dargestellt (mit einer NULL oder leeren Instanz wie zum Beispiel [email protected]). Mit dieser Konfiguration k�nnen Benutzer mit einem zweiten Principal mit einer admin-Instanz (zum Beispiel joe/[email protected]) kompletten Zugriff auf die Kerberos-Datenbank des Realm erhalten.

    Sobald kadmind auf dem Server gestartet ist, k�nnen alle Benutzer auf die Dienste zugreifen, indem sie auf einem beliebigen Client oder Server im Realm kadmin ausf�hren. Allerdings k�nnen nur die in der Datei kadm5.acl genannten Benutzer die Datenbank in irgendeiner Form �ndern, ausgenommen nat�rlich das eigene Passwort.

    AnmerkungAnmerkung
     

    Das kadmin-Utility kommuniziert mit dem kadmind-Server �ber das Netzwerk, wobei Kerberos f�r die Authentifizierung verwendet wird. Sie m�ssen nat�rlich den ersten Principal erstellen, ehe Sie eine Verbindung mit dem Server �ber das Netzwerk herstellen k�nnen, um diesenzu verwalten. Erstellen Sie den ersten Principal mit dem Befehl kadmin.local, der speziell f�r den Gebrauch auf demselben Host wie KDC entworfen ist und Kerberos nicht zur Authentifizierung verwendet.

    Geben Sie am KDC-Terminal den folgenden kadmin.local-Befehl ein, um den ersten Principal zu erstellen:

    /usr/kerberos/sbin/kadmin.local -q "addprinc username/admin"
  6. Starten Sie Kerberos mit Hilfe der folgenden Befehle:

    /sbin/service krb5kdc start
    /sbin/service kadmin start
    /sbin/service krb524 start
  7. F�gen Sie Principals f�r Ihre Benutzer mit Hilfe des Befehls addprinc mit kadmin hinzu. kadmin und kadmin.local auf dem Master-KDC sind die Befehlszeilenschnittstellen zum KDC. Insofern stehen viele Befehle nach dem Starten des kadmin-Programms zur Verf�gung. Weitere Informationen finden Sie auf der man-Seite zu kadmin.

  8. �berpr�fen Sie, ob das KDC Tickets ausgibt. F�hren Sie zuerst kinit aus, um ein Ticket zu erhalten, und speichern Sie es in einer Credential-Cache-Datei. Zeigen Sie dann mit klist eine Referenzenliste im Cache an und verwenden Sie kdestroy, um den Cache sowie die enthaltenen Referenzen zu zerst�ren.

    AnmerkungAnmerkung
     

    Standardm��ig versucht kinit Sie mit Hilfe des Anmeldenamens des Kontos zu authentifizieren, das Sie zur ersten Anmeldung am System verwendeten (nicht am Kerberos-Server). Entspricht der Systembenutzername keinem Principal in der Kerberos- Datenbank, gibt kinit eine Fehlermeldung aus. Geben Sie in diesem Fall kinit den Namen Ihres Principal als Argument auf der Befehlszeile an (kinit <principal>).

Wenn Sie oben genannte Schritte ausgef�hrt haben, sollte Ihr Kerberos-Server korrekt funktionieren.

 
 
  Published under the terms of the GNU General Public License Design by Interspire