Voordat u begint met het opzetten van Kerberos op uw systeem , moet u de naam van uw Kerberos , de hostname van de master en slave Key Distribution Centers ( KDC ) en hoe je gaat om te weten in kaart uw hostnames in de Kerberos-realm . U moet de poorten die de KDC's en de toegang tot de database ( kadmin ) diensten zal gebruiken bepalen . U zult ook moeten weten hoe vaak de meester en slaaf KDC's zal de database te vullen .

U bovenstaande informatie gebruiken om de master KDC in te stellen . De master KDC configuratiebestanden zal worden gevonden op " /etc/krb5.conf " en " /usr/local/var/krb5kdc/kdc.conf " en kunnen worden bewerkt in een teksteditor . De " krb5.conf " bestand bevat informatie over waar de KDC's en admin servers , evenals de hostnaam mapping informatie te vinden . De " kdc.conf " bestand bevat de standaard informatie die gebruikt wordt bij de afgifte van Kerberos- tickets . Open het " /etc/krb5.conf " en de "login ", " rijken " en " domain_realm " waarden , zodat ze correct zijn voor uw systeem zijn te bewerken . Verander de " /usr/local/var/krb5kdc/kdc.conf ", zodat het weerspiegelt de juiste informatie voor uw KDC -server .

De volgende stap is om de database te maken . Open een terminal en typ het commando " kdb5_util . " U zal worden gevraagd om een master key bieden . Dit moet een combinatie van letters , cijfers en speciale tekens vergelijkbaar met een wachtwoord zijn. Deze sleutel zal worden opgeslagen in een stash bestand op de harde schijf van de KDC 's . Als u liever gevraagd voor de sleutel wanneer Kerberos begint , kunt u ervoor kiezen om de stash bestand niet maken .

Tenslotte zal je de Access Control List ( ACL ) te creëren en ten minste een beheerder toe te voegen . De ACL is een gebruiker aangemaakt tekstbestand dat heet " /usr/local/var/krb5kdc/kadm5.acl . " Dit bestand moet de in het formulier vermelde beheerder: Kerberos_principal permissies [ target_principal ] [ beperkingen ] Zodra de ACL lijst is gemaakt , het commando " kadmin.local " en voeg iedere opdrachtgever aan de database . Start de Kerberos daemons met het commando " /usr/local/sbin/krb5kdc ; . /Usr /local /sbin /kadmin "
Het creëren van de keytab File

keytab bestand wordt gebruikt voor het decoderen van de Kerberos tickets en bepalen of de gebruiker toegang tot de database moet hebben . Om dit bestand te maken , typ het commando " kadmin.local " weer . Dit zal u voorzien van een prompt waar je de commando typt : " ktadd - k /usr/local/var/krb5kdc/kadm5.keytab kadmin /admin kadmin /changepw " om het keytab -bestand te maken . Vervang de sectie " /usr/local/var/krb5kdc/kadm5.keytab " met de keytab locatie die is opgegeven in de " /usr/local/var/krb5kdc/kdc.conf " bestand . Typ " quit " om de " kadmin " hulpprogramma af te sluiten .
De Slave configureren KDC's

Om de slaaf KDC's te maken , zal je de " kadmin geven . lokale "commando een derde keer . Bij de prompt het commando " addprinc - randkey gastheer /example.com " voor de Meester en elke slave . Gebruik de hostnaam van elk KDC in plaats van " example.conf . " Dit zal hostsleutels maken voor elk van de KDC's . Vervolgens halen de sleutels op elk van de slaaf KDC's door het starten van de " kadmin " utility op elk van de slaven en de afgifte van het commando " ktadd gastheer /MasterKDC.com . " Vervang " MasterKDC.com " met de hostnaam van de master KDC .

Voor de databank worden doorgegeven door de master KDC naar de slave KDC's moet u een bestand met de naam " /usr /local /var creëren /krb5kdc/kpropd.acl . " Dit bestand moet de opdrachtgevers bevatten voor elk van de KDC's in de vorm " gastheer /example.com . " . Elke opdrachtgever moet op een afzonderlijke regel worden geplaatst

Vervolgens bewerkt u de " /inetd.conf /etc " bestand op elk van de KDC's en voeg de volgende regels : krb5_prop stroom tcp nowait root /usr /local /sbin /kpropd kpropdeklogin beek tcp nowait root /usr /local /sbin /klogind klogind - k - c- e

Bewerk de " /etc /services " -bestand op elk van de KDC's en voeg de volgende regels : kerberos 88/udp kdc # Kerberos-verificatie ( udp ) kerberoscliënt 88/tcp kdc # Kerberos-verificatie ( tcp ) krb5_prop 754/tcp # Kerberos slaaf propagationkerberos - adm 749/tcp # Kerberos 5 admin /changepw ( tcp ) Kerberos - adm 749/udp # Kerberos 5 admin /changepw ( udp ) eklogin 2105/tcp # Kerberos versleuteld rlogin
uitdragen van de Database

uitdragen van de database wordt gedaan van de Meester KDC . Geeft u de opdracht " /usr/local/sbin/kdb5_util dump /usr/local/var/krb5kdc/slave_datatrans " om een dump van de database te maken . Vervolgens geeft u de opdracht " /usr /local /sbin /kprop - f /usr/local/var/krb5kdc/slave_datatrans Slave - 1.example.com " om de database handmatig te propageren op elk van de slaven .

Deze stappen zullen moeten worden afgerond op een regelmatige basis . De eenvoudigste manier om dit te doen is om te creëren als script en het script als een cron job . Het script moet er zo uitzien : # /bin /sh

kdclist
= " slave - 1.example.com slave - 2.example.com "

/usr/local/sbin/kdb5_util " dump = > /usr/local/var/krb5kdc/slave_datatrans "

voor kdc in $ kdclistdo /usr /local /sbin /kprop -f /usr/local/var/krb5kdc/slave_datatrans $ kdcdone < br >

Natuurlijk verandert de namen gastheer voor de waarden voor uw systeem weer te geven .
Maak Stash Bestanden op de Slaves

de laatste stap naar het opzetten van Kerberos is om stash bestanden te maken op de slaaf KDC . Op elk van de slaaf KDC's het commando " kdb5_util stash " en zorgen voor de hoofdsleutel wanneer daarom wordt gevraagd . Als dat eenmaal is voltooid , kunt u de " krb5kdc " daemon starten op elke slave met het commando " /usr/local/sbin/krb5kdc /. "