Strategy ONE

如何安装 Kerberos Authentication Service

  1. 安装 Kerberos KDC 服务器和客户端。
    1. 下载并安装 krb5 服务器包。

      复制
      rpm -ivh krb5-server-1.10.3-10.el6_4.6.x86_64.rpm

      在配置 KDC 之前,请验证以下 rpm 包是否已安装:

      复制
      $ rpm -qa | grep -i krb5
      pam_krb5-2.3.11-9.el6.x86_64
      krb5-server-1.10.3-10.el6_4.6.x86_64
      krb5-workstation-1.10.3-10.el6_4.6.x86_64
      krb5-libs-1.10.3-10.el6_4.6.x86_64
    2. 通过 yum 安装。

      在 KDC 服务器上:

      复制
      yum install krb5-server krb5-libs krb5-auth-dialog

      在 Kerberos 客户端上:

      复制
      yum install krb5-workstation krb5-libs krb5-auth-dialog
  2. 修改 /etc/krb5.conf 文件。

    调整 /etc/krb5.conf 看起来像下面的代码,具有适当的 REALM 和 DOMAIN_REALM 映射。 krb5配置文件 可以在 /ETC 默认情况下。

    复制
    [logging]
     default = FILE:/var/log/krb5libs.log
     kdc = FILE:/var/log/krb5kdc.log
     admin_server = FILE:/var/log/kadmind.log

    [libdefaults]
     default_realm = MYREALM.COM
     dns_lookup_realm = false
     dns_lookup_kdc = false
     ticket_lifetime = 24h
     renew_lifetime = 7d
     forwardable = true

    [realms]
     MYREALM.COM = {
      kdc = elserver1.example.com
      admin_server = elserver1.example.com
     }

    [domain_realm]
     .myrealm.com =CTCCDH1.COM
    myrealm.com =CTCCDH1.COM
  3. 修改 密钥管理中心 文件。

    登录KDC服务器,修改 /var/kerberos/krb5kdc/kdc.conf 如下:

    复制
    [kdcdefaults]
     kdc_ports = 88
     kdc_tcp_ports = 88

    [realms]
     MYREALM.COM = {
      #master_key_type = aes256-cts
      acl_file = /var/kerberos/krb5kdc/kadm5.acl
      dict_file = /usr/share/dict/words
      admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
      supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
     }
  4. 分配管理员权限。

    可以使用该文件授予用户数据库的管理员权限 /var/kerberos/krb5kdc/kadm5.acl

    复制
    */admin@MYREALM.COM     *

    在上面的例子中,MYREALM 中任何具有管理实例的主体都拥有所有管理员权限。

  5. 创建主体。

    使用命令创建主体 添加原则。例如,创建一个用户名为“root”的主体。

    复制
    $ kadmin.local -q "addprinc root/admin"
    Authenticating as principal root/admin@MYREALM.COM with password.
    WARNING: no policy specified for root/admin@MYREALM.COM; defaulting to no policy
    Enter password for principal "root/admin@MYREALM.COM":
    Re-enter password for principal "root/admin@MYREALM.COM":
    Principal "root/admin@MYREALM.COM" created.
  6. 创建数据库。

    以下命令在中创建主体数据库 /var/kerberos/krb5kdc

    复制
    kdb5_util create -r $realm -s

    如果数据库已经存在,它将删除所有相关文件 /var/kerberos/krb5kdc。默认情况下,数据库名称是“principal”。您可以添加 -d 标志来重命名数据库。

  7. 启动 Kerberos 服务。

    启动 KDC 并 管理员 守护进程如下所示。

    复制
    # service krb5kdc start
    Starting Kerberos 5 KDC:               [  OK  ]

    # service kadmin start
    Starting Kerberos 5 Admin Server:      [  OK  ]