Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux Guide de reference - Configuration d'un client Kerberos 5

19.6. Configuration d'un client Kerberos 5

Il est moins complexe de configurer un client Kerberos 5 qu'un serveur. Vous devez au minimum installer les paquetages clients et fournir � vos clients un fichier de configuration krb5.conf valide. Les versions kerberis�es de rsh et rlogin devront �galement �tre modifi�es au niveau de la configuration.

  1. Assurez-vous que la synchronisation de temps existe bien entre le client Kerberos et le KDC. Reportez-vous � la Section 19.5 pour obtenir de plus amples informations. En outre, v�rifiez que le DNS fonctionne correctement sur le client Kerberos avant d'installer les programmes clients de Kerberos.

  2. Installez les paquetages krb5-libs et krb5-workstation sur tous les ordinateurs clients. Vous devez fournir un fichier /etc/krb5.conf valide pour chaque client (il est g�n�ralement possible d'utiliser le m�me fichier krb5.conf que celui employ� par le KDC).

  3. Avant qu'un poste de travail appartenant au realm puisse permettre aux utilisateurs de se connecter � l'aide des commandes kerberis�es rsh et rlogin, le paquetage xinetd doit �tre install� sur le poste de travail en question et le principal de l'h�te propre du poste doit �galement �tre pr�sent dans la base de donn�es Kerberos. Les programmes des serveurs kshd et klogind doivent �galement avoir acc�s aux cl�s du principal de leur service.

    � l'aide de kadmin, ajoutez un principal d'h�te pour le poste de travail sur le KDC. L'instance sera dans ce cas le nom d'h�te du poste de travail. Utilisez l'option -randkey de la commande addprinc de kadmin pour cr�er le principal et lui attribuer une cl� al�atoire�:

    addprinc -randkey host/blah.example.com

    Maintenant que vous avez cr�� le principal, vous pouvez extraire les cl�s du poste de travail en ex�cutant kadmin sur le poste de travail lui-m�me et en utilisant la commande ktadd dans kadmin�:

    ktadd -k /etc/krb5.keytab host/blah.example.com
  4. Pour pouvoir utiliser d'autres services r�seau kerberis�s, ils doivent d'abord �tre d�marr�s. Ci-dessous figure une liste des services kerberis�s les plus courants ainsi que les instructions relatives � leur activation�:

    • rsh et rlogin — Afin d'utiliser les versions kerberis�es de rsh et rlogin, vous devez activer klogin, eklogin et kshell.

    • Telnet — Afin d'utiliser le service kerberis� Telnet, krb5-telnet doit �tre activ�.

    • FTP — Afin de fournir un acc�s FTP, cr�ez puis extrayez une cl� pour un �l�ment principal avec un root d�finit comme ftp. Pour cette op�ration, assurez-vous que l'instance est bien configur�e sur le nom d'h�te pleinement qualifi� du serveur FTP et activez ensuite gssftp.

    • IMAP — Afin d'utiliser un serveur IMAP kerberis�, le paquetage cyrus-imap utilise Kerberos 5 si le paquetage cyrus-sasl-gssapi est �galement install�. Le paquetage cyrus-sasl-gssapi contient les plugins Cyrus SASL qui prennent en charge l'authentification GSS-API. Cyrus IMAP devrait fonctionner correctement avec Kerberos tant que l'utilisateur cyrus est en mesure de trouver la bonne cl� dans /etc/krb5.keytab et tant que l'�l�ment root pour le principal est param�tr� sur imap (cr�� avec kadmin).

      Le paquetage dovecot contient �galement une alternative � cyrus-imap qui est bas�e sur leserveur IMAP, �galement inclus dans Red Hat Enterprise Linux mais qui � l'heure actuelle ne prend pas en charge GSS-API et Kerberos.

    • CVS — Afin d'utiliser un serveur CVS kerberis�, gserver recourt � un principal avec un root ayant la valeur cvs qui, autrement, est identique au serveur CVS pserver.

    Reportez-vous au chapitre intitul� Contr�le de l'acc�s aux services du Guide d'administration syst�me de Red Hat Enterprise Linux pour obtenir de plus amples informations sur l'activation des services.

 
 
  Published under the terms of the GNU General Public License Design by Interspire