Strategy ONE
如何安装 Kerberos Authentication Service
- 安装 Kerberos KDC 服务器和客户端。
下载并安装 krb5 服务器包。
复制rpm -ivh krb5-server-1.10.3-10.el6_4.6.x86_64.rpm
在配置 KDC 之前,请验证以下 rpm 包是否已安装:
复制$ rpm -qa | grep -i krb5
pam_krb5-2.3.11-9.el6.x86_64
krb5-server-1.10.3-10.el6_4.6.x86_64
krb5-workstation-1.10.3-10.el6_4.6.x86_64
krb5-libs-1.10.3-10.el6_4.6.x86_64通过 yum 安装。
在 KDC 服务器上:
复制yum install krb5-server krb5-libs krb5-auth-dialog
在 Kerberos 客户端上:
复制yum install krb5-workstation krb5-libs krb5-auth-dialog
-
修改 /etc/krb5.conf 文件。
调整 /etc/krb5.conf 看起来像下面的代码,具有适当的 REALM 和 DOMAIN_REALM 映射。 krb5配置文件 可以在 /ETC 默认情况下。
复制[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = MYREALM.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
MYREALM.COM = {
kdc = elserver1.example.com
admin_server = elserver1.example.com
}
[domain_realm]
.myrealm.com =CTCCDH1.COM
myrealm.com =CTCCDH1.COM -
修改 密钥管理中心 文件。
登录KDC服务器,修改 /var/kerberos/krb5kdc/kdc.conf 如下:
复制[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88
[realms]
MYREALM.COM = {
#master_key_type = aes256-cts
acl_file = /var/kerberos/krb5kdc/kadm5.acl
dict_file = /usr/share/dict/words
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
} -
分配管理员权限。
可以使用该文件授予用户数据库的管理员权限 /var/kerberos/krb5kdc/kadm5.acl。
复制*/admin@MYREALM.COM *
在上面的例子中,MYREALM 中任何具有管理实例的主体都拥有所有管理员权限。
-
创建主体。
使用命令创建主体 添加原则。例如,创建一个用户名为“root”的主体。
复制$ kadmin.local -q "addprinc root/admin"
Authenticating as principal root/admin@MYREALM.COM with password.
WARNING: no policy specified for root/admin@MYREALM.COM; defaulting to no policy
Enter password for principal "root/admin@MYREALM.COM":
Re-enter password for principal "root/admin@MYREALM.COM":
Principal "root/admin@MYREALM.COM" created. -
创建数据库。
以下命令在中创建主体数据库 /var/kerberos/krb5kdc。
复制kdb5_util create -r $realm -s
如果数据库已经存在,它将删除所有相关文件 /var/kerberos/krb5kdc。默认情况下,数据库名称是“principal”。您可以添加 -d 标志来重命名数据库。
-
启动 Kerberos 服务。
启动 KDC 并 管理员 守护进程如下所示。
复制# service krb5kdc start
Starting Kerberos 5 KDC: [ OK ]
# service kadmin start
Starting Kerberos 5 Admin Server: [ OK ]