MicroStrategy ONE

Comment installer le service d'authentification Kerberos

  1. Installez le serveur et le client Kerberos KDC.
    1. Téléchargez et installez le package de serveur krb5.

      Copier
      rpm -ivh krb5-server-1.10.3-10.el6_4.6.x86_64.rpm

      Assurez-vous que les modules rpm suivants sont installés avant de configurer KDC :

      Copier
      $ rpm -qa | grep -i krb5
      pam_krb5-2.3.11-9.el6.x86_64
      krb5-server-1.10.3-10.el6_4.6.x86_64
      krb5-workstation-1.10.3-10.el6_4.6.x86_64
      krb5-libs-1.10.3-10.el6_4.6.x86_64
    2. Installez via yum.

      Sur le serveur KDC :

      Copier
      yum install krb5-server krb5-libs krb5-auth-dialog

      Sur le client Kerberos :

      Copier
      yum install krb5-workstation krb5-libs krb5-auth-dialog
  2. Modifier /etc/krb5.conf fichier.

    Modifier /etc/krb5.conf pour ressembler au code ci-dessous avec les mappages REALM et DOMAIN_REALM appropriés. krb5.conf peut être trouvé dans /etc par défaut.

    Copier
    [logging]
     default = FILE:/var/log/krb5libs.log
     kdc = FILE:/var/log/krb5kdc.log
     admin_server = FILE:/var/log/kadmind.log

    [libdefaults]
     default_realm = MYREALM.COM
     dns_lookup_realm = false
     dns_lookup_kdc = false
     ticket_lifetime = 24h
     renew_lifetime = 7d
     forwardable = true

    [realms]
     MYREALM.COM = {
      kdc = elserver1.example.com
      admin_server = elserver1.example.com
     }

    [domain_realm]
     .myrealm.com =CTCCDH1.COM
    myrealm.com =CTCCDH1.COM
  3. Modifier KDC.conf fichier.

    Connectez-vous au serveur KDC et modifiez /var/kerberos/krb5kdc/kdc.conf comme suit :

    Copier
    [kdcdefaults]
     kdc_ports = 88
     kdc_tcp_ports = 88

    [realms]
     MYREALM.COM = {
      #master_key_type = aes256-cts
      acl_file = /var/kerberos/krb5kdc/kadm5.acl
      dict_file = /usr/share/dict/words
      admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
      supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
     }
  4. Attribuez des privilèges d'administrateur.

    Les utilisateurs peuvent se voir accorder des privilèges administrateur sur la base de données à l'aide du fichier /var/kerberos/krb5kdc/kadm5.acl.

    Copier
    */admin@MYREALM.COM     *

    Dans l'exemple ci-dessus, tout mandataire de MYREALM avec une instance d'administrateur dispose de tous les privilèges d'administrateur.

  5. Créez un principal.

    Créez le principal à l'aide de la commande addprinc. Par exemple, créez un principal avec le nom d'utilisateur « root ».

    Copier
    $ kadmin.local -q "addprinc root/admin"
    Authenticating as principal root/admin@MYREALM.COM with password.
    WARNING: no policy specified for root/admin@MYREALM.COM; defaulting to no policy
    Enter password for principal "root/admin@MYREALM.COM":
    Re-enter password for principal "root/admin@MYREALM.COM":
    Principal "root/admin@MYREALM.COM" created.
  6. Créez la base de données.

    La commande suivante crée la base de données principale dans /var/kerberos/krb5kdc.

    Copier
    kdb5_util create -r $realm -s

    Si la base de données existe déjà, elle supprimera tous les fichiers liés dans /var/kerberos/krb5kdc. Par défaut, le nom de la base de données est « principal ». Vous pouvez ajouter -d Indicateur pour renommer la base de données.

  7. Démarrez le service Kerberos.

    Démarrer le KDC et kadmin démons comme indiqué ci-dessous.

    Copier
    # service krb5kdc start
    Starting Kerberos 5 KDC:               [  OK  ]

    # service kadmin start
    Starting Kerberos 5 Admin Server:      [  OK  ]