MicroStrategy ONE

Cómo instalar el servicio de autenticación de Kerberos

  1. Instale el servidor y el cliente Kerberos KDC.

    1. Descargue e instale el paquete del servidor krb5.

      Copiar
      rpm -ivh krb5-server-1.10.3-10.el6_4.6.x86_64.rpm

      Verifique que los siguientes paquetes rpm estén instalados antes de configurar KDC:

      Copiar
      $ rpm -qa | grep -i krb5
      pam_krb5-2.3.11-9.el6.x86_64
      krb5-server-1.10.3-10.el6_4.6.x86_64
      krb5-workstation-1.10.3-10.el6_4.6.x86_64
      krb5-libs-1.10.3-10.el6_4.6.x86_64

    2. Instalar a través de yum.

      En el servidor KDC:

      Copiar
      yum install krb5-server krb5-libs krb5-auth-dialog

      En el cliente Kerberos:

      Copiar
      yum install krb5-workstation krb5-libs krb5-auth-dialog

  2. Modificar el /etc/krb5.conf archivo.

    Modificar /etc/krb5.conf para parecerse al código siguiente con las asignaciones REALM y DOMAIN_REALM apropiadas. krb5.conf puede encontrarse en /etc por defecto.

    Copiar 
    [logging]
     default = FILE:/var/log/krb5libs.log
     kdc = FILE:/var/log/krb5kdc.log
     admin_server = FILE:/var/log/kadmind.log

    [libdefaults]
     default_realm = MYREALM.COM
     dns_lookup_realm = false
     dns_lookup_kdc = false
     ticket_lifetime = 24h
     renew_lifetime = 7d
     forwardable = true

    [realms]
     MYREALM.COM = {
      kdc = elserver1.example.com
      admin_server = elserver1.example.com
     }

    [domain_realm]
     .myrealm.com =CTCCDH1.COM
    myrealm.com =CTCCDH1.COM

  3. Modificar el KDC.conf archivo.

    Inicie sesión en el servidor KDC y modifique /var/kerberos/krb5kdc/kdc.conf como sigue:

    Copiar 
    [kdcdefaults]
     kdc_ports = 88
     kdc_tcp_ports = 88

    [realms]
     MYREALM.COM = {
      #master_key_type = aes256-cts
      acl_file = /var/kerberos/krb5kdc/kadm5.acl
      dict_file = /usr/share/dict/words
      admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
      supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
     }

  4. Asigne privilegios de administrador.

    A los usuarios se les pueden otorgar privilegios de administrador para la base de datos usando el archivo /var/kerberos/krb5kdc/kadm5.acl.

    Copiar 
    */admin@MYREALM.COM     *

    En el ejemplo anterior, cualquier principal en MYREALM con una instancia de administrador tiene todos los privilegios de administrador.

  5. Crea un director.

    Cree el director usando el comando addprinc. Por ejemplo, cree una entidad principal con el nombre de usuario "root".

    Copiar 
    $ kadmin.local -q "addprinc root/admin"
    Authenticating as principal root/admin@MYREALM.COM with password.
    WARNING: no policy specified for root/admin@MYREALM.COM; defaulting to no policy
    Enter password for principal "root/admin@MYREALM.COM":
    Re-enter password for principal "root/admin@MYREALM.COM":
    Principal "root/admin@MYREALM.COM" created.

  6. Crea la base de datos.

    El siguiente comando crea la base de datos principal en /var/kerberos/krb5kdc.

    Copiar 
    kdb5_util create -r $realm -s

    Si la base de datos ya existe, eliminará todos los archivos relacionados en /var/kerberos/krb5kdc. De forma predeterminada, el nombre de la base de datos es "principal". Puedes agregar el -d bandera para cambiar el nombre de la base de datos.

  7. Inicie el servicio Kerberos.

    Inicie el KDC y kadmin demonios como se muestra a continuación.

    Copiar 
    # service krb5kdc start
    Starting Kerberos 5 KDC:               [  OK  ]

    # service kadmin start
    Starting Kerberos 5 Admin Server:      [  OK  ]