Kerberos bruges til at godkende brugere over en ikke- sikkert netværk. For at gøre dette , skal serveren og klienten deler en fælles nøgle, der bruges til at kryptere og dekryptere passwords. Nøglen distributionen foretages af en hovednøgle (KDC ) . Redundans er indbygget i systemet ved at oprette en eller flere slave KDCs . Konfiguration af Master

Før du begynder at oprette Kerberos på dit system, bør du kende navnet på din Kerberos , værtsnavnet på master -og slave Key Distribution Centers ( KDC ), og hvordan du kommer til at kortlægge dine værtsnavne i Kerberos realm . Du bliver nødt til at bestemme de porte, som KDCs og databasen adgang ( kadmin ) tjenester vil bruge. Du bliver også nødt til at vide , hvor ofte master og slave KDCs vil fylde databasen.
P Du vil bruge ovenstående oplysninger til at konfigurere master KDC . Master KDC konfigurationsfiler vil blive fundet på " /etc/krb5.conf " og " /usr/local/var/krb5kdc/kdc.conf " og kan redigeres i enhver teksteditor . Den " krb5.conf " filen indeholder oplysninger om, hvor at lokalisere KDCs og admin servere, såvel som værtsnavn kortlægning information. Den " kdc.conf " filen indeholder standard information, der anvendes ved udstedelse af Kerberos billetter. Åbn " /etc/krb5.conf " og redigere "login ", " riger " og " domain_realm " værdier , så de er korrekte for dit system. Ændr " /usr/local/var/krb5kdc/kdc.conf ", så det afspejler de korrekte oplysninger til din KDC server.

Det næste skridt er at oprette databasen . Åbn en terminal og skriv kommandoen " kdb5_util ". Du vil blive bedt om at give en hovednøgle . Dette bør være en streng af bogstaver, tal og specialtegn ligner en adgangskode. Denne nøgle vil blive gemt i en stash fil på KDC harddisk. Hvis du hellere vil blive bedt om nøglen , når Kerberos starter, kan du vælge ikke at oprette stash -filen.

Endelig vil du oprette Access Control List ( ACL) og tilføje mindst én administrator til det. ACL er en brugerskabt tekstfil, der kaldes " /usr/local/var/krb5kdc/kadm5.acl ". Denne fil skal have administrator opført i form : Kerberos_principal tilladelser [ target_principal ] [ restriktioner ] Når ACL listen er oprettet, udstede kommandoen " kadmin.local ", og tilføje hver hovedstol til databasen. Start Kerberos daemons med kommandoen "/usr/local/sbin/krb5kdc ; . /Usr /local /sbin /kadmin "
Oprettelse af Keytab File

keytab fil bruges til at dekryptere Kerberos billetter og afgøre, om brugeren skal have adgang til databasen. For at skabe denne fil , skriv kommandoen " kadmin.local " igen. Dette vil give dig en prompt , hvor du vil skrive kommandoen: " ktadd - k /usr/local/var/krb5kdc/kadm5.keytab kadmin /admin kadmin /changepw " for at oprette keytab fil. Erstat afsnittet " /usr/local/var/krb5kdc/kadm5.keytab " med keytab sted, der blev angivet i " /usr/local/var/krb5kdc/kdc.conf " fil . Type " Afslut " for at afslutte " kadmin " nytte .
Konfiguration af Slave KDCs

For at oprette slave KDCs vil du udstede " kadmin . lokal "kommando en tredje gang. På prompt, udstede kommandoen " addprinc - randkey host /example.com " for Master og hver slave. Brug værtsnavnet for hver KDC i stedet for " example.conf ". Dette vil skabe værtsnøgler for hver af KDCs . Dernæst udpakke tasterne på hver af de slave KDCs ved at starte " kadmin " værktøj på hver af de slaver , og at udstede kommandoen " ktadd vært /MasterKDC.com . " Erstat " MasterKDC.com " med værtsnavnet på master KDC .

Databasen til at blive formeret fra master KDC til slave KDCs du bliver nødt til at oprette en fil kaldet " /usr /local /var /krb5kdc/kpropd.acl ". Denne fil skal indeholde rektorerne for hver af de KDCs i form "host /example.com ". . Hver hovedforpligtede skal placeres på sin egen linje

Dernæst redigere " /etc /inetd.conf " fil på hver af de KDCS og tilføj følgende linier: krb5_prop stream tcp nowait root /usr /local /sbin /kpropd kpropdeklogin stream tcp nowait root /usr /local /sbin /klogind klogind - k- c- e

Rediger " /etc /services " fil på hver af de KDCs og tilføje følgende linjer : Kerberos 88/udp KDC # Kerberos-godkendelse ( udp ) Kerberos 88/tcp KDC # Kerberos-godkendelse (TCP) krb5_prop 754/tcp # Kerberos slave propagationkerberos - adm 749/tcp # Kerberos 5 admin /changepw (TCP) Kerberos - adm 749/udp # Kerberos 5 admin /changepw ( udp ) eklogin 2105/tcp # Kerberos krypteret rlogin
Plantemateriale database

Plantemateriale databasen sker fra Master KDC . Udsted kommandoen "/usr/local/sbin/kdb5_util dump /usr/local/var/krb5kdc/slave_datatrans " for at oprette et dump af databasen . Dernæst udstede kommandoen " /usr /local /sbin /kprop - f /usr/local/var/krb5kdc/slave_datatrans Slave - 1.example.com " til manuelt at udbrede database på hver af de slaver.
< P > Disse skridt skal være afsluttet på en regelmæssig basis. Den nemmeste måde at gøre dette er at skabe så script og køre scriptet som et cron-job . Scriptet skal se ud : # /bin /sh

kdclist = " slave - 1.example.com slave - 2.example.com "

/usr/local/sbin/kdb5_util " dump => /usr/local/var/krb5kdc/slave_datatrans "

for KDC i $ kdclistdo /usr /local /sbin /kprop - f /usr/local/var/krb5kdc/slave_datatrans $ kdcdone < br >

selvfølgelig ændre værtsnavne at afspejle værdierne for dit system.
Opret Stash filer på slaver

det sidste skridt til at oprette Kerberos er at skabe stash filer på slave KDCs . På hver af de slave KDCs udstede kommandoen " kdb5_util stash " og give hovednøglen når du bliver bedt . Når dette er fuldført, kan du starte " krb5kdc " dæmonen på hver slave med kommandoen "/usr/local/sbin/krb5kdc /. "